Dove posso trovare le specifiche per il certificato X.509 utilizzato nell'handshake TLS autenticato dal client?

Naviga le tue risposte
1

Le specifiche TLS definiscono come deve essere eseguita l'handshake tra client e server quando il client desidera utilizzare un certificato per autenticarsi. C'è molta documentazione onlin che presuppone che il nome utente sia inserito nel campo CN del certificato x.509, ma nessuno dei documenti che ho trovato ha fornito un riferimento alle specifiche che impongono di inserire il nome utente nel CN.

Mettendo il nome utente nella CN richiesto da alcuni RFC o standard? Se sì, potresti indicarmi questo documento?

    
posta Ottavio Campana 11.06.2018 - 17:10
fonte

2 risposte

1

A quanto ho capito, la convalida del certificato lato client è specifica per l'implementazione. In genere, si riduce ad affermare che il certificato client si trova in una PKI attendibile dal punto di vista del server. Può decidere schemi di convalida supplementari come definito dalla politica del certificato.

    
risposta data 11.06.2018 - 23:06
fonte
1

RFC 2818 (HTTPS), dopo una pagina intera sul client che verifica l'identità del server, ha solo un paragrafo sul controllo server identità cliente :

Typically, the server has no external knowledge of what the client's identity ought to be and so checks (other than that the client has a certificate chain rooted in an appropriate CA) are not possible. If a server has such knowledge (typically from some source external to HTTP or TLS) it SHOULD check the identity as described above.

RFC 6125, che aggiorna il controllo dell'identità del server TLS in modo dettagliato per diversi protocolli che non includono HTTPS, doesn 'anche prendere in considerazione la verifica dell'identità del cliente :

The following topics are out of scope for this specification:

o Client or end-user identities. ...

    
risposta data 12.06.2018 - 07:31
fonte

Leggi altre domande sui tag

Operation Prowli Malware infetta oltre 40.000 macchine 2 connessioni VPN [chiuso]