Verifica corrispondenza binaria

1

È prassi del settore eseguire una corrispondenza binaria del certificato pubblico del client quando si esegue SSL con l'autenticazione del client? Stavo pensando che se il client può eseguire con successo l'handshake SSL, non vi è alcuna sicurezza aggiuntiva facendo corrispondere il binario del certificato a uno che è archiviato, ma ho sentito che alcuni posti fanno un ulteriore livello di controllo memorizzando il certificato client e facendo un binario corrispondenza dell'intero certificato. Qual è la sicurezza aggiunta in questo?

    
posta avmohan 04.12.2015 - 05:59
fonte

1 risposta

2

Penso che ti stia riferendo al blocco dei certificati nel contesto dell'autenticazione del client, in cui il server non solo controlla che il client possa stabilire con successo l'handshake SSL con il certificato (il che significa che il client conosce la chiave privata) ma che il certificato è esattamente ciò che il server si aspetta (o uno dei certificati attesi).

Il controllo che il certificato è esattamente come previsto è utile se si gestiscono certificati autofirmati o se si desidera aggiungere una protezione aggiuntiva in aggiunta alla convalida esistente per assicurarsi che nessun utente malintenzionato sia in grado di ottenere un certificato per lo stesso soggetto da una CA di fiducia. In genere non viene eseguito confrontando l'intero certificato come binario (sebbene ciò sia possibile) ma confrontando l'impronta digitale del certificato o della chiave pubblica all'interno del certificato. In quest'ultimo caso, questo è noto come blocco della chiave pubblica.

Questa tecnica è più comunemente usata nella direzione opposta, vale a dire per assicurarsi che il certificato del server sia quello previsto. Questo è usato nei browser di oggi per proteggere domini importanti come google.com incorporando l'impronta digitale prevista della chiave pubblica nel browser. Con l'estensione HTTP HPKP tutti gli altri siti possono eseguire anche la pinatura della chiave pubblica.

    
risposta data 04.12.2015 - 06:40
fonte

Leggi altre domande sui tag