Cambio del certificado del lado del servidor durante la conexión en curso, ¿es compatible? ¿Cuáles son los efectos sobre las conexiones existentes?

0

Me preguntaba (según el RFC de TLS y su implementación actual por parte de los principales proveedores / plataformas, es decir, el IIS de Microsoft): cómo se comportaría / reaccionaría una sesión activa de SSL / TLS existente si el servidor donde se cambia el certificado ¿Se utiliza para negociar inicialmente esa sesión con un nuevo certificado completo?

¿El servidor cerraría automáticamente las sesiones existentes? (y específicamente, ¿cómo manejarían IIS y Windows Server 2008R2 / 2012R2 este caso? ¿El lado del servidor podría comenzar a usar el certificado de servidor recién seleccionado sin afectar las sesiones SSL / TLS ya establecidas?)

¿O podría el servidor cambiar su certificado sin afectar (cerrar) las sesiones cifradas existentes?

¿El cliente detectaría el cambio en una etapa posterior durante la sesión (es decir, si se realizara una renegociación de sesión)?

Gracias de antemano.

    
pregunta Ottootto 28.04.2017 - 07:41
fuente

1 respuesta

1

El certificado del servidor solo se usa durante el protocolo de enlace TLS. Es irrelevante para la sesión restante y, por lo tanto, no es necesario cerrar una sesión cuando cambia el certificado. De hecho, el cliente ni siquiera notará que un certificado ha cambiado (o si se ha revocado un certificado) a menos que se realice un nuevo protocolo de enlace TLS, es decir, al realizar una nueva conexión o al realizar una renegociación dentro de una conexión existente.

Pero podría ser que implementaciones específicas del servidor cerrarán una sesión como efecto secundario cuando se modifique el certificado por razones técnicas, por ejemplo, porque el proceso debe reiniciarse.

Y hay implementaciones de clientes que restringen los cambios de certificado en la renegociación para lidiar con el ataque de triple saludo . Por lo tanto, si el servidor cambia el certificado y se activa una renegociación (tal vez porque es necesario verificar un certificado de cliente), esto puede resultar en implementaciones de Java actuales en cambio de certificado del servidor está restringido durante la renegociación .

    
respondido por el Steffen Ullrich 28.04.2017 - 08:47
fuente

Lea otras preguntas en las etiquetas