Безопасный файл cookie и недействительный сертификат

Question

Предполагается ли отправлять безопасный cookie на сервер HTTPS с недействительным сертификатом?Я имею в виду, что у меня есть приложение, обслуживаемое сервером HTTPS, которое отправляет куки с активированным флагом безопасности после шага входа в систему.Должен ли мой сервер получать cookie-файл обратно, если у него недействительный сертификат?Это нормализовано (кажется, что нет), может кто-то указать мне на соответствующую часть нормы?

Answer 1

Да, cookie с установленным флагом Secure отправляется только для защищенных соединений TLS / SSL :

Если флаг cookie-only-only cookie имеет значение true, тогда схема request-uri должна обозначать «безопасный» протокол (как определено агентом пользователя). […] Как правило, пользовательские агенты считают протокол безопасным, если протокол использует безопасность транспортного уровня, такую ​​как SSL или TLS. Например, большинство пользовательских агентов считают «https» схемой, обозначающей безопасный протокол.

Но чтобы установить соединение TLS / SSL, важно только, является ли сертификат доверенным. Неважно, как сертификат был доверенным, я. е. было ли это доверено автоматически или вручную.

Answer 2

Является ли сертификат действительным или нет, на самом деле не имеет значения. Если при просмотре сайта обнаружен недействительный сертификат, большинство браузеров сообщит пользователю, что сертификат является недействительным, и позволит пользователю определить, хотят они продолжить или нет.

Что касается «безопасной» части файла cookie, все, что он делает, это сообщает браузеру, что файл cookie действителен только для соединений https и не должен передаваться через обычные соединения http.

Это означает, что да, ваш сервер должен получить cookie-файл обратно из браузера, при условии, что доступ к URL-адресу является https URL. Даже если сертификат сервера недействителен.

Answer 3

Существует также это утверждение в RFC 2965 , которое устарело в RFC 6265:

Пользовательский агент (возможно, с взаимодействием с пользователем) МОЖЕТ определить, что уровень безопасности, который он считает подходящим для «безопасных» файлов cookie. Атрибут Secure должен рассматриваться как совет по безопасности от сервер к агенту пользователя, указывая, что он находится в сеансе интерес для защиты содержимого cookie. Когда отправляет «безопасный» cookie на сервер, пользовательский агент ДОЛЖЕН использовать не менее тот же уровень безопасности, который использовался при получении файла cookie с сервера .