| ||||
| ||||
| Клиент с сервером обменялись сертификатами и приступают к установлению SSL/TLS соединения. Собственно вопрос: какой криптопровайдер будет использоваться для шифрования канала? На чем основывается его выбор - на информации в сертификате сервера/пользователя или как??? | ||||
| Ответы: | ||||
| ||||
| У SSL/TLS сервера сертификат прописан в конфигурации. Сервер выбирает используемый криптопровайдер на основе своего сертификата, т.е. своей конфигурации. TLS клиент выбирает свой сертификат на основе сертификата сервера, грубо говоря, у них должен быть один УЦ. Подробности смотрите RFC 2246. Клиент, для шифрования сессии выбирает криптопровайдер на основе сертификата сервера. TLS в случае аутентификации клиента (двухсторонней) имеет два режима: 1. Совпадающие алгоритмы и параметры открытых ключей сервера и клиента, в этом случае аутентификация, и сервера, и клиента осуществляется по алгоритму Диффи-Хелмана на основе их сертификатов; 2. Не совпадающие параметры открытых ключей сервера и клиента, в этом случае аутентификация сервера осуществляется по "эфемеральному" алгоритму Диффи-Хелмана на основе сертификата сервера, а аутентификация клиента осуществляется с помощью ЭЦП на основе сертификата клиента. | ||||
Vadim