Supponiamo che possieda un dominio chiamato Bob.com e che ho inviato una richiesta API a Google.com. Ma invece di fornire un certificato per Bob.com, invio un certificato per Alice.com (che ho ricevuto da una precedente richiesta API da Alice.com al mio sito). Come / a che punto dell'handshake SSL viene identificata questa mancata corrispondenza e la richiesta di connessione rifiutata da Google.com? Ci ho pensato e posso solo pensare a due possibilità:
1) Google.com verifica che il dominio del richiedente (Bob.com) corrisponda a uno dei nomi di dominio nel certificato presentato e interrompa l'handshake se questi non corrispondono (tuttavia, prevedo che Google.com solo conoscere l'indirizzo IP del richiedente anziché il suo nome di dominio)
2) Ad un certo punto durante l'handshake (probabilmente lo scambio di chiavi?) Bob.com dovrà eseguire alcune azioni che utilizzano la chiave privata di Alice.com - e, poiché non ha questo, la stretta di mano non può essere competitiva ( se questo è il caso, a che punto della stretta di mano si verifica questa azione?)
Grazie in anticipo !!