In che modo TLS verifica che un certificato appartenga a un dominio? [duplicare]

0

Supponiamo che possieda un dominio chiamato Bob.com e che ho inviato una richiesta API a Google.com. Ma invece di fornire un certificato per Bob.com, invio un certificato per Alice.com (che ho ricevuto da una precedente richiesta API da Alice.com al mio sito). Come / a che punto dell'handshake SSL viene identificata questa mancata corrispondenza e la richiesta di connessione rifiutata da Google.com? Ci ho pensato e posso solo pensare a due possibilità:

1) Google.com verifica che il dominio del richiedente (Bob.com) corrisponda a uno dei nomi di dominio nel certificato presentato e interrompa l'handshake se questi non corrispondono (tuttavia, prevedo che Google.com solo conoscere l'indirizzo IP del richiedente anziché il suo nome di dominio)

2) Ad un certo punto durante l'handshake (probabilmente lo scambio di chiavi?) Bob.com dovrà eseguire alcune azioni che utilizzano la chiave privata di Alice.com - e, poiché non ha questo, la stretta di mano non può essere competitiva ( se questo è il caso, a che punto della stretta di mano si verifica questa azione?)

Grazie in anticipo !!

    
posta user2521119 12.12.2018 - 09:07
fonte

1 risposta

1

Quando si esegue l'autenticazione del certificato client, è necessario possedere la chiave privata per il certificato che si sta inviando al server. La chiave privata viene utilizzata come parte dell'autenticazione TLS reciproca per firmare i messaggi di handshake.

Se non hai la chiave privata giusta, non puoi firmare i messaggi di handshake TLS e l'autenticazione del client non può essere completata.

Se si firmano messaggi con una chiave privata falsa (che non appartiene alla chiave pubblica nel certificato client), il server non sarà in grado di convalidare la firma con la chiave pubblica inviata insieme al certificato client.

    
risposta data 12.12.2018 - 09:48
fonte

Leggi altre domande sui tag