ssl pergunta de handshake de comunicação

2

Durante a comunicação SSL, o servidor envia seu certificado para o cliente para autenticação.
Opcionalmente, o cliente também pode enviar seu certificado para autenticação de cliente.
A minha pergunta é: o servidor (ou cliente) envia toda a cadeia para o cliente (ou seja, certificados de assinatura) ou apenas o seu próprio certificado?
Tenho notado que normalmente apenas o seu próprio certificado está sendo enviado, mas eu queria saber se ele é configurável ou não faz sentido enviar toda a cadeia para a outra parte.

Obrigado

    
por user76678 10.05.2011 / 23:14

2 respostas

4

É configurável.

Qualquer certificado que já seja conhecido pelo correspondente não precisa ser enviado (com a ressalva de que cada certificado no certificado certificate_list deve certificar diretamente o precedente, exceto o primeiro certificado que não possui um certificado anterior)

Nunca faz sentido enviar a raiz, sob a suposição de que o par deve já possuí-la para validá-la em qualquer caso. Quanto aos certificados intermediários, isso depende da sua cadeia de certificados particular.

    
por 11.05.2011 / 00:57
2

Para responder à parte sobre o cliente, quando o servidor solicita o certificado do cliente, ele envia uma lista de CAs que reconhece. O cliente só precisa enviar sua cadeia de certificados para uma dessas CAs reconhecidas.

    
por 11.05.2011 / 03:23