#ssl #tls1.2
#ssl #tls1.2
Вопрос:
Это очень общий вопрос, и я надеюсь, что смогу ответить правильно.
Я изучаю повторные переговоры SSL / TLS и немного прочитал об этом. Вот что я понял из своего чтения:
Клиенты сгруппированы в две основные группы с точки зрения повторных согласований SSL / TLS, исправленные и не исправленные. Это относится к тому, уязвимы ли они для атаки «Человек посередине» (CVE-2009-3555?) или нет.
Повторное согласование, выполненное с исправленным клиентом, называется «Безопасным повторным согласованием», в то время как повторное согласование, выполненное с не исправленным клиентом, называется «Небезопасным повторным согласованием».
В статьях, которые я прочитал, в качестве примера использовался веб-магазин, в котором пользователь просматривает магазин без входа в систему. Когда пользователь решает войти в систему, его / ее клиент может использовать повторное согласование для входа в систему и сэкономить некоторое время / ресурсы.
Из этого примера я не понимаю, почему браузеру придется заново устанавливать сеанс SSL / TLS, когда он уже подключен к сайту? Если вход в систему не выполнен через другой домен, в этом случае я бы предположил, что это будет совершенно новый сеанс, поскольку клиент не может предположить, что тот же веб-сервер будет обрабатывать этот домен.
Большинство ресурсов очень расплывчаты, и я хотел бы понять с практической точки зрения:
- В каком сценарии они используются?
- В чем выгода?
- Как поведет себя клиент в случае сбоя или отклонения?
Любые ответы / теории / предложения будут оценены.
/Patrik
Ответ №1:
Они используются, когда любая из сторон хочет изменить протокол или набор шифров, или если сервер теперь хочет запросить сертификат клиента, но не делал этого раньше.
Комментарии:
1. Согласен. Но когда клиент захочет изменить протокол или набор шифров? Сертификат клиента был хорошим предложением!