On Mon, Jul 18, 2016 at 11:05:12AM +0300, Vladislav Shabanov wrote: > Пусть есть сайт ABC, на котором внедрили клиентские SSL-сертификаты > для сотрудников. Такой сайт любому зашедшему браузеру сообщает, что > принимает сертификаты, выданные организацией ZZZ. Если это > сотрудник, то он сможет передать сертификат, сайт сможет его > проверить, принять решение и т. д. Если нет, то будет выдана > какая-то страница ??в доступе отказано??.
Мне кажется, что запрос сертификата в SSL/TLS делается передачей клиенту какого-то флага (бита), там нет места для указания развесистых условий вроде "в DN сертификата поле OU должно быть непустым и совпадать со сторокой ZZZ". То есть сказать браузеру "я принимаю сертификаты для организации ZZZ" сервер не имеет технической возможности. > Вопрос вот в чём: нехороший человек это заметил и настроил свой сайт > DEF так, чтобы во время SSL handshake тот тоже сообщал всем > браузерам, что принимает сертификаты организации с названием > ZZZ. Правильно ли я понимаю, что сотрудники компании ZZZ после этого > уже никогда не смогут посещать сайт DEF анонимно? Браузер ведь будет > тупо выдавать единственный установленный сертификат, у которого имя > организации совпало? Соответственно, сайт может лишь попросить сертификат. А что ему вернут зависит от того, как ведёт себя браузер. У браузера есть много вариантов для выбора, прежде всего спросить юзера, хочет ли он передавать клиентский сертификат. -- Eugene Berdnikov _______________________________________________ nginx-ru mailing list [email protected] http://mailman.nginx.org/mailman/listinfo/nginx-ru
