Digamos que soy dueño de un dominio llamado Bob.com y que envié una solicitud de API a Google.com. Pero en lugar de proporcionar un certificado para Bob.com, envío un certificado para Alice.com (que recibí de una solicitud API anterior de Alice.com a mi sitio). ¿Cómo / en qué punto del protocolo de enlace SSL se identifica esta falta de coincidencia y la solicitud de conexión rechazada por Google.com? Lo he estado pensando y solo puedo pensar en dos posibilidades:
1) Google.com verifica que el dominio del solicitante (Bob.com) coincida con uno de los nombres de dominio en el certificado presentado, y cancela el saludo si no coinciden (sin embargo, espero que Google.com solo conozca la dirección IP del solicitante en lugar de su nombre de dominio)
2) En algún momento durante el apretón de manos (¿posiblemente un intercambio de claves?) Bob.com deberá realizar alguna acción que utilice la clave privada de Alice.com y, como no tiene esto, no se puede competir con el apretón de manos ( Si este es el caso, ¿en qué punto del apretón de manos ocurre esta acción?)
¡Gracias de antemano!