En la conexión Https, el cifrado asimétrico (con certificado del servidor) se utiliza durante el protocolo de enlace y para crear claves simétricas. ¿Tengo razón en que en este caso el certificado del cliente no tiene cifrado? ¿El servidor solo comprueba que confía en ese certificado de cliente y eso es todo?
La operación realizada es similar a la autenticación del servidor con las siguientes diferencias.
Después de enviar el mensaje ServerKeyExchange, el servidor le indica al cliente que desea autenticar al cliente a través de un mensaje de solicitud de certificado; El cliente envía su certificado. La operación de reconocimiento de TLS se realiza normalmente, pero después de enviar el mensaje ClientKeyExchange, el cliente envía un mensaje CertificateVerify que contiene una firma de los mensajes anteriores de reconocimiento. El servidor y el cliente luego calculan un valor a partir de los números aleatorios intercambiados y el PreMasterSecret y el cliente envían un ChangeCipherSpec y la operación continúa sin la autenticación del cliente.
Como puede ver, el servidor comprueba si el cliente tiene posesión de la clave privada; No solo que confíe en el cliente cert.
Lea otras preguntas en las etiquetas tls certificates http