Сервер TLS настроен для отправки конечных и промежуточных сертификатов при подтверждении TLS. Клиент TLS будет проверять цепочку доверия сертификата листа сервера с помощью промежуточных и корневых сертификатов. Корневой сертификат должен существовать локально на клиенте, листовой сертификат сервера должен быть отправлен с сервера. Однако, если промежуточный сертификат существует локально на клиенте и отправляется с сервера - в этом случае для процесса проверки доступны две копии промежуточного сертификата. Какая копия промежуточного сертификата будет выбрана для проверки цепочки доверия?
Как клиент TLS обрабатывает две копии промежуточного сертификата
Ответы (1)
Это зависит от конкретной реализации механизма цепочки сертификатов и выходит за рамки TLS. Механизм цепочки сертификатов строит как можно больше цепочек, используя всю доступную информацию. После построения всех цепочек CCE удаляет повторяющиеся, а затем на основе внутреннего алгоритма выбирает лучшую цепочку, которая используется для дальнейших операций.
Возможен случай, когда локальный промежуточный сертификат лучше сертификата, полученного при рукопожатии TLS. В этом случае промежуточный сертификат, полученный от TLS, не используется.
person
Crypt32
schedule
14.05.2018
