HeartBleed e certificados de cliente

Question

HeartBleed e certificados de cliente

#1 resposta do (1 votos)

1

É verdade que um servidor, configurado para exigir um certificado de cliente, não pode sofrer com a vulnerabilidade Heartbleed, se esse usuário não tiver um certificado de cliente?

webserver security heartbleed attack-vector

por Myforwik 08.09.2014 / 12:46

1 resposta

Tags webserver security heartbleed attack-vector

Como excluir links simbólicos quebrados SSD Teste de desempenho no linux

score 1 · Answer 1

De RFC 6520 :

   A HeartbeatRequest message can arrive almost at any time during the
   lifetime of a connection.  Whenever a HeartbeatRequest message is
   received, it SHOULD be answered with a corresponding
   HeartbeatResponse message.

Acredito que isso possa acontecer durante a fase "hello" do TLS em que cliente e servidor estão trocando certificados, ou seja, antes que o servidor possa dizer "não" ao cliente com base no certificado, ou a falta dele.