¿Renegociar una vez en el paquete crypto / tls de Go protege contra un apretón de manos triple?

3

Buscando en cómo realizar la autenticación cert del cliente desde el cliente Go Go, descubrí que necesitaba una renegociación del lado del cliente y encontré el problema 5742 para Go on GitHub, que es el problema que conduce a la adición del soporte de renegociación. El paquete crypto / tls de Go, y hubo una discusión sobre el problema de la vulnerabilidad del triple apretón de manos.

Leí enlace y suena como el el tercer saludo es el saludo de la sesión, pero no estoy seguro de cuándo se produce ese apretón de manos, pero al mirar a través del código fuente de Go parece que no se permite reanudar durante la renegociación en Go TLS enlace . No entendí completamente el marco de tiempo en el que tendría lugar el triple apretón de manos, pero ¿eso evitaría el temblor de 3? Además, ¿RenegotiateOnceAsClient in Go (que hace que el cliente Go HTTP que hace TLS haga solo una renegociación por conexión) hará algo para evitarlo?

    
pregunta Andy Haskell 12.10.2017 - 15:49
fuente

0 respuestas

Lea otras preguntas en las etiquetas