Sostanzialmente ciò che dice sopra, assumendo che l'intercettatore deve essere completamente passivo, e non può connettersi al server per verificare se il server richiede un certificato client.
Un utente intercettatore può rilevare l'utilizzo di un certificato lato client TLS?
3
2 risposte
4
Protocollo di handshake TLS in breve:
Tuttoloscambiochevediprimadelpassaggio9(inclusoloscambiocertificato)èvulnerabileperchésolodopocheilcanaleèprotetto.
P.S.Potrestiessereinteressatoaleggere
7
Sì, il certificato del cliente viene inviato in chiaro se il server ha inviato una richiesta di certificato.
Alcuni server (IIRC, Microsoft IIS) eseguono prima l'handshake senza autenticazione dell'utente e quindi avviano una rinegoziazione che richiede il certificato client. La rinegoziazione viene quindi crittografata utilizzando la suite di crittografia negoziata nel passaggio 1 e il certificato client viene crittografato sul filo.
In caso di dubbio, usa wireshark.
risposta data
11.08.2015 - 09:09
fonte
Leggi altre domande sui tag client-side tls certificates