Stavo rivedendo alcune informazioni sui certificati SSL e ho trovato una spiegazione che ritengo essere errata.
La spiegazione è di come funzionano le firme e gli algoritmi di hashing nel contesto della connessione usando SSL.
Questa è una piccola sezione tagliata dal materiale:
"When a secure connection is initially requested by a client, and I've told you in previous chapters that the server sends a whole bunch of information to that client about itself along with its own public certificate. The information that is sent includes information about which HASH functions are supported, which encryption technologies are supported, etc.
And so if both the client and the server support SHA-2 for example, they'll choose SHA-2."
Da quanto ho capito, non esiste la negoziazione della firma di un certificato. È vero che il client e il server scambieranno informazioni sulla versione del protocollo, crittografie crittografiche, ecc. Per decidere cosa usare.
Tuttavia, il certificato del server è firmato dalla CA durante l'emissione e tale firma è fissa e utilizza qualsiasi algoritmo che l'utente (o CA) sceglie durante il processo di emissione. Se dovessi ottenere un certificato oggi, probabilmente avresti una firma SHA-256.
Se il client non supporta SHA-256 non esiste una "negoziazione" su altri algoritmi di hashing, esiste? La connessione non andrebbe a buon fine?