Durante a comunicação SSL, o servidor envia seu certificado para o cliente para autenticação.
Opcionalmente, o cliente também pode enviar seu certificado para autenticação de cliente.
A minha pergunta é: o servidor (ou cliente) envia toda a cadeia para o cliente (ou seja, certificados de assinatura) ou apenas o seu próprio certificado?
Tenho notado que normalmente apenas o seu próprio certificado está sendo enviado, mas eu queria saber se ele é configurável ou não faz sentido enviar toda a cadeia para a outra parte.
Obrigado
É configurável.
Qualquer certificado que já seja conhecido pelo correspondente não precisa ser enviado (com a ressalva de que cada certificado no certificado certificate_list deve certificar diretamente o precedente, exceto o primeiro certificado que não possui um certificado anterior)
Nunca faz sentido enviar a raiz, sob a suposição de que o par deve já possuí-la para validá-la em qualquer caso. Quanto aos certificados intermediários, isso depende da sua cadeia de certificados particular.
Para responder à parte sobre o cliente, quando o servidor solicita o certificado do cliente, ele envia uma lista de CAs que reconhece. O cliente só precisa enviar sua cadeia de certificados para uma dessas CAs reconhecidas.