Question

Сервер TLS настроен на отправку конечных и промежуточных сертификатов при подтверждении связи TLS.Клиент TLS проверит цепочку доверия листового сертификата сервера с помощью промежуточных и корневых сертификатов.Корневой сертификат должен существовать локально на клиенте, листовой сертификат сервера должен быть отправлен с сервера.Однако, если промежуточный сертификат существует локально на клиенте и отправляется с сервера - в этом случае для процесса проверки доступны две копии промежуточного сертификата.Какая копия промежуточного сертификата будет выбрана для проверки цепочки доверия?

Crypt32 · Answer 1 · 14 мая 2018

Это зависит от конкретной реализации механизма цепочки сертификатов и выходит за рамки TLS. Движок цепочки сертификатов строит как можно больше цепочек, используя всю доступную информацию. После построения всех цепочек CCE удаляет дубликаты, а затем на основе внутреннего алгоритма выбирает лучшую цепочку, которая будет использоваться для дальнейших операций.

Возможен случай, когда локальный промежуточный сертификат лучше, чем тот, который получен при рукопожатии TLS. В этом случае промежуточный сертификат, полученный от TLS, не используется.

Как клиент TLS обрабатывает две копии промежуточного сертификата

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Как клиент TLS обрабатывает две копии промежуточного сертификата

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы