これは非常に一般的な質問です。私はそれを正しく得ることができれば幸いです。SSL再交渉の失敗 - 影響?
私はSSL/TLSの再交渉を検討しており、少し読んでいます。私が読んだところで私が理解していることは次のとおりです。
クライアントは、SSL/TLS再交渉の観点から、パッチを当ててパッチを当てていないという点で2つのメイングループにグループ化されています。これは、攻撃中の人間(CVE-2009-3555?)に脆弱であるかどうかを示します。
パッチされたクライアントとの再交渉は「安全な再交渉」と呼ばれ、パッチされていないクライアントとの再交渉は「安全な再交渉」と呼ばれます。
私が読んだ記事では、ユーザがログインしていない状態でブラウザをブラウズする例としてWebショップが使用されています。ユーザがクライアントにログインすることを決定すると、ログインして、リソース。
この例でわからないことは、サイトに既にSSL/TLSセッションがあるときにブラウザがSSL/TLSセッションを再確立する必要がある理由です。別のドメインを介してログインが行われていない限り、クライアントは同じWebサーバーがそのドメインを処理すると仮定することができないため、完全に新しいセッションになると仮定します。
ほとんどのリソースは非常にあいまいであり、私は実用的な観点から理解したいと思います:どのようなシナリオでは
- は、彼らが使用されていますか?
- どのような利点がありますか?
- クライアントが失敗した場合や拒否された場合の動作は何ですか?
すべての回答/理論/提案は高く評価されます。
/パトリック
しかし、いつクライアントがプロトコルや暗号スイートを変更したいのですか? クライアント証明書は良い提案でした。 – PatrikJ