La autenticación mutua de SSL está funcionando bien, mientras que el cliente está enviando certificado de tamaño cero. Y también falta el mensaje de verificación de certificado . Me sorprende cómo la comunicación está funcionando bien. Tengo un volcado de TCP pero no puedo compartir debido a la política de seguridad de nuestra empresa.
¿Cómo es posible que la comunicación esté funcionando aunque el cliente está enviando un certificado de tamaño cero?
El cliente envía un certificado con 0 bytes si el servidor solicita un certificado pero el cliente no tiene certificado. La forma en que el servidor maneja el certificado vacío depende de la configuración:
Con apache, puede configurar la opción SSLVerifyClient para requerir un certificado, pero acepta un vacío también. Si en cambio lo establece en optional debería fallar si solo se proporciona un certificado vacío. Otros servidores tienen opciones similares.
Certificados de cliente opcionales?
Parece que su servidor está aplicando certificados de cliente OPCIONALES (y no obligatorios).
Lea otras preguntas en las etiquetas tls