Fino ad ora ho capito l'autenticazione del client come un modo per limitare l'accesso per determinati client.
Ma dopo aver letto link Non sono più così sicuro e vorrei discutere qui per aprire gli occhi.
È tutto teoricamente.
-
Il client ha una coppia di chiavi. Nell'handshake invia il certificato (il pubkey firmato) e anche i dati casuali firmati. Poiché il server utilizza il certificato inviato per verificare che i dati firmati siano a conoscenza del fatto che anche il client è in possesso del privkey. E a causa della catena di fiducia e dell'emittente, il server sa anche che il client è autentico.
-
E non è assolutamente necessario che il certificato dei clienti sia firmato con la chiave del server. Può essere qualsiasi emittente finché il server è in grado di verificare la catena di attendibilità dei clienti. Ma dipende dai server CA.
-
Per progettare l'accesso limitato possiamo usare la CA. Metti solo i keypair dei server e solo i client sarebbero in grado di accedere utilizzando i certificati firmati con i server CA. Tutti gli altri non passeranno la verifica perché la catena della fiducia.
La mia vista è corretta?
Grazie! Chis