Sto utilizzando Apache 2.4, con due certificati, un RSA firmato da CACert e un ECC autofirmato. Nessuno di questi certificati fornisce un percorso per un certificato radice trusted-broswer. La mia domanda è questa: quando viene presentato con due certificati diversi per un sito Web, in che modo il browser decide quale utilizzare?
Indovinate
La mia supposizione istruita dalla lettura delle specifiche: il browser non vedrà mai più di un certificato server. Piuttosto, le specifiche di cifratura vengono negoziate in anticipo. E SOLO THEN il server invia i certificati.
Quindi, se la negoziazione termina con una suite di crittografia autenticata RSA-cert, verrà inviata la catena di certificati RSA. E se la negoziazione si conclude con una suite di crittografia autenticata ECDSA-cert, allora verrà inviata la catena di certificati ECDSA.
Documento sugli standard: link
7.4.2. Server Certificate [...] The certificate MUST be appropriate for the negotiated cipher suite's key exchange algorithm and any negotiated extensions.
Test
Non posso testare per questo adesso.
E: l'ultima volta che ho sentito (2013) SSL-Labs non ha potuto: Forum Qualys: certificati doppi e punteggi di scambio chiave
Leggi altre domande sui tag apache web-browser webserver tls certificates