¿Puede un espía detectar el uso de un certificado TLS del lado del cliente?

3

Básicamente, lo que dice lo anterior, suponiendo que el intruso debe ser completamente pasivo, y no puede conectarse al servidor para verificar si el servidor requiere un certificado de cliente.

    
pregunta Nathan Ringo 11.08.2015 - 08:56
fuente

2 respuestas

4

Protocolo de protocolo de enlace TLS en breve:

Todoelintercambioqueveaantesdelpaso9(incluidoelintercambiocertificado)esvulnerableporquesolodespuésdequeelcanalestéprotegido.

P.S.Esposiblequeleintereseleer esto .

    
respondido por el user45139 11.08.2015 - 09:32
fuente
7

Sí, el certificado del cliente se envía en claro si el servidor envió una solicitud de certificado.

Algunos servidores (IIRC, Microsoft IIS) primero realizan un protocolo de enlace sin autenticación del usuario y luego inician una renegociación solicitando el certificado del cliente. Por lo tanto, la renegociación se cifra mediante el conjunto de cifrado negociado en el paso 1 y el certificado del cliente se cifra en el cable.

En caso de duda, utilice wireshark.

    
respondido por el Z.T. 11.08.2015 - 09:09
fuente

Lea otras preguntas en las etiquetas