Esiste un meccanismo in SSL / TLS che consente di associare un certificato a un dispositivo? Esempio:
C'è un client che parla con un server, e durante l'installazione di SSL / TLS, c'è l'autenticazione reciproca. Il server verifica che il client abbia presentato un certificato valido (data di scadenza, CRL / OCSP, ecc.) E che abbia i campi obbligatori che il server desidera vedere (dominio x.example.com, firmatario di XYZ Corp, ecc.).
Tuttavia vorremmo anche che il server colleghi alcune caratteristiche del certificato client (identificazione personale, seriale, ecc.) al client stesso (IP, Nome host, NetBT, ecc.). C'è qualche meccanismo integrato o di terze parti che fa questo, o mi sfugge qualcosa?
La preoccupazione è che un certificato verrà esportato da un client da qualcuno con privilegi elevati (avremo stringenti ACL ma supponiamo che questi siano inefficaci nell'arrestare l'attaccante), e poi installato su un secondo dispositivo. Capisco che, se qualcuno avesse privilegi elevati su una macchina, potevano semplicemente fare ciò che volevano fare su quella scatola usando l'ambiente esistente, ma se potevano usare il certificato su un secondo dispositivo, potevano bypassare i controlli di sicurezza ( firewall locali, av, ecc.) e controlli di sicurezza (il firewall è abilitato, av è attivo, le azioni vengono registrate e inviate al server syslog, ecc.).