L'autenticazione reciproca SSL funziona correttamente mentre il client invia certificato di dimensioni zero Anche il messaggio di verifica del certificato è mancante . Sono stupito di come la comunicazione funzioni bene. Ho dump TCP ma non posso condividere a causa della politica di sicurezza della nostra azienda.
Come è possibile che la comunicazione funzioni anche se il client sta inviando un certificato con dimensioni zero?
Un certificato con 0 byte viene inviato dal client se il server richiede un certificato ma il client non ha un certificato. Il modo in cui il server gestisce il certificato vuoto dipende dalla configurazione:
Con apache puoi impostare l'opzione SSLVerifyClient a optional per richiedere un certificato ma accetta anche quello vuoto. Se invece lo si imposta su require , dovrebbe fallire se viene fornito solo un certificato vuoto. Altri server hanno opzioni simili.
Leggi altre domande sui tag tls