Básicamente, lo que dice lo anterior, suponiendo que el intruso debe ser completamente pasivo, y no puede conectarse al servidor para verificar si el servidor requiere un certificado de cliente.
¿Puede un espía detectar el uso de un certificado TLS del lado del cliente?
3
2 respuestas
4
7
Sí, el certificado del cliente se envía en claro si el servidor envió una solicitud de certificado.
Algunos servidores (IIRC, Microsoft IIS) primero realizan un protocolo de enlace sin autenticación del usuario y luego inician una renegociación solicitando el certificado del cliente. Por lo tanto, la renegociación se cifra mediante el conjunto de cifrado negociado en el paso 1 y el certificado del cliente se cifra en el cable.
En caso de duda, utilice wireshark.
respondido por el
Z.T.
11.08.2015 - 09:09
fuente
Lea otras preguntas en las etiquetas tls certificates client-side