Un utente intercettatore può rilevare l'utilizzo di un certificato lato client TLS?

3

Sostanzialmente ciò che dice sopra, assumendo che l'intercettatore deve essere completamente passivo, e non può connettersi al server per verificare se il server richiede un certificato client.

    
posta Nathan Ringo 11.08.2015 - 08:56
fonte

2 risposte

4

Protocollo di handshake TLS in breve:

Tuttoloscambiochevediprimadelpassaggio9(inclusoloscambiocertificato)èvulnerabileperchésolodopocheilcanaleèprotetto.

P.S.Potrestiessereinteressatoaleggere questo .

    
risposta data 11.08.2015 - 09:32
fonte
7

Sì, il certificato del cliente viene inviato in chiaro se il server ha inviato una richiesta di certificato.

Alcuni server (IIRC, Microsoft IIS) eseguono prima l'handshake senza autenticazione dell'utente e quindi avviano una rinegoziazione che richiede il certificato client. La rinegoziazione viene quindi crittografata utilizzando la suite di crittografia negoziata nel passaggio 1 e il certificato client viene crittografato sul filo.

In caso di dubbio, usa wireshark.

    
risposta data 11.08.2015 - 09:09
fonte

Leggi altre domande sui tag