Re: TLS: Leere certificate_authorities-Liste in certificate_request-Message

Thilo-Alexander Ginkel <usenet.spamtrap@xxxxxxxxx> wrote:

>RFC 2246 ist an der Stelle leider etwas unklar, deshalb eine Frage in
>die Runde:
>
>Welche Bedeutung hat eine leere certificate_authorities-Liste in einer
>certificate_request-Message im TLS-Handshake (siehe Abschnitt 7.4.4.)?
>Akzeptiert der Server dann alle Issuer oder keinen Issuer?

Das kommt darauf an, was sich der Server (bzw. dessen Programmierer)
dabei gedacht hat, die Liste leer zu lassen ;-).

Zunächst einmal: Es wäre ziemlich sinnfrei, wenn der Server ein
CertificateRequest an den Client schicken würde mit einer leeren Liste
in der Bedeutung: "Ich akzeptiere eh keins von Deinen Zertifikaten".

Umgekehrt: Aus einer leeren Liste zu schließen, daß der Server alle
Zertifikate akzeptiert, ist ebenfalls sinnfrei, da der Server nicht
alle CAs dieser Welt kennen (und damit vertrauen) kann.

Insgesamt folgt daraus: Die certificate_authorities-Liste ist ein
Hilfsmittel, mit dem Client und Server schneller zueinander finden
können, wenn der Client mehrere Zertifikate von unterschiedlichen CAs
besitzt, der Server aber nicht alle diese CAs kennt/akzeptiert. Der
Server muß aber dieses Hilfsmittel nicht benutzen; umgekehrt steht dem
Client frei, bei einem mißlungenen Handshake einen neuen Handshake mit
dem nächsten Client-Zertifikat zu starten.

Für mich ist eine leere certificate_authorities-Liste ein Zeichen
dafür, daß der Programmierer aus Faulheit oder Unwissenheit nicht die
CA-Zertifikate an der entsprechenden Schnittstelle der TLS-Bibliothek
angegeben hat oder aber, daß er der Meinung ist, daß der potentielle
Gewinn nicht die Aufblähung des Handshakes rechtfertigt.
Ciao,
Richard
--
Dr. Richard Könning Heßstraße 63
Tel.: 089/5232488 80798 München
.

Relevant Pages

  • WLAN SIcherheitsimplementierung
    ... daß peap (zumindestens ... manchmal) Serverseiteige Zertifikate benutzt, aber keine ... IAS Server kenne ich mich leider gar nicht aus. ... >auf dem client habe ich folgendes eingestellt: ...
    (microsoft.public.de.security.netzwerk.sicherheit)
  • Re: LWP und wget Option
    ... Option gesetzt ist, kann ich eine URL, bei der ansonsten "401 Access Denied" ... Wenn der Client Zertifikate prüft und der Server ... Also kann der Server auch nicht antworten ...
    (de.comp.lang.perl.misc)
  • Zertifikate unter Server 2003, EAP-TLS
    ... Authentifizierungsverfahren möchte ich EAP-TLS verwenden. ... Authentifiziert sich der Server beim Client und der Client ... Clients Zertifikate ausgestellt ...
    (microsoft.public.de.german.windows.server.general)
  • Re: TLS: Leere certificate_authorities-Liste in certificate_request-Message
    ... >>Akzeptiert der Server dann alle Issuer oder keinen Issuer? ... was sich der Server ... Client leider auch nicht, ... > alle CAs dieser Welt kennen kann. ...
    (de.comp.security.misc)
  • Re: Wie Portforwarding =?ISO-8859-15?Q?f=FCr?= FTP einrichten?
    ... um Windows als Server zu misbrauchen. ... Akzeptiert. ...
    (de.comp.security.firewall)