¿Cómo verifica TLS que un certificado pertenece a un dominio? [duplicar]

0

Digamos que soy dueño de un dominio llamado Bob.com y que envié una solicitud de API a Google.com. Pero en lugar de proporcionar un certificado para Bob.com, envío un certificado para Alice.com (que recibí de una solicitud API anterior de Alice.com a mi sitio). ¿Cómo / en qué punto del protocolo de enlace SSL se identifica esta falta de coincidencia y la solicitud de conexión rechazada por Google.com? Lo he estado pensando y solo puedo pensar en dos posibilidades:

1) Google.com verifica que el dominio del solicitante (Bob.com) coincida con uno de los nombres de dominio en el certificado presentado, y cancela el saludo si no coinciden (sin embargo, espero que Google.com solo conozca la dirección IP del solicitante en lugar de su nombre de dominio)

2) En algún momento durante el apretón de manos (¿posiblemente un intercambio de claves?) Bob.com deberá realizar alguna acción que utilice la clave privada de Alice.com y, como no tiene esto, no se puede competir con el apretón de manos ( Si este es el caso, ¿en qué punto del apretón de manos ocurre esta acción?)

¡Gracias de antemano!

    
pregunta user2521119 12.12.2018 - 09:07
fuente

1 respuesta

1

Cuando realiza la autenticación de certificado de cliente, debe poseer la clave privada para el certificado que está enviando al servidor. La clave privada se usa como parte de la autenticación TLS mutua para firmar los mensajes de intercambio.

Si no tiene la clave privada correcta, no puede firmar los mensajes de protocolo de enlace TLS y no se puede completar la autenticación del cliente.

Si firma mensajes con una clave privada falsa (que no pertenece a la clave pública en el certificado del cliente), el servidor no podrá validar con éxito la firma con la clave pública que envió junto con el certificado del cliente.

    
respondido por el Crypt32 12.12.2018 - 09:48
fuente

Lea otras preguntas en las etiquetas