| ||||
| ||||
| Касательно темы существуют вот такие вопросы: 1). В сертификате указано: This certificate is intended to: * Ensures the identity of a remote computer * Proves your identity to a remote computer По 2-му пункту (Proves...) понятно - веб-сервер дает сей сертификат клиенту (броузеру), чтобы тот смог определить (аутентифицировать), что это именно тот сервер, который клиенту нужен. А вот что означает 1-й пункт (Ensures...) - это, что клиент может подсунуть веб-серверу сей сертификат(его же собственный), чтобы сказать, что он (клиент) есть веб-сервер - чушь какая-то получилась - подскажите, что означает 1-й пункт. 2). Предполагаю, что есть ситуации, когда один веб-сервер (WS) хочет связаться с другим для обмена информации (по SSL) и на втором сервере указано требовать клиентские сертификаты при запросе на установление SSL-соединения. Каков механизм инициации сего обмена и какой сертификат дает WS1 для WS2 - свой серверный, который и клиентам дает, или WS1 для таких случаев должен иметь клиентский сертификат. 3). Как известно пользователь1 (П1) может без труда получить окрытый ключ (хранимый в сертификате, подписанном доверенным CA) пользователя2 (П2), например чтобы этот П1 смог зашифровать сообщение для П2, которое П2 потом расшифрует своим закрытым ключом. Итак П1 имеет сертификат (с открытым ключом) П2. Предполагается, что П2 "выписывал" сертификат у Verisign и чтобы много раз не платить указал, что certificate is intended to: ALL PURPOSE, т.е. и аутентификации и шифрования и т.д. Внимание вопрос: а не может ли П1 затем использовать сертификатП2 для передачи веб-серверу при аутентификации, чтобы выдать себя за П2 для совершенно неблагородных целей. |
Сергей