Во время связи SSL сервер отправляет свой сертификат клиенту для аутентификации.
При желании клиент также может отправить свой сертификат для аутентификации клиента.
Мой вопрос: сервер (или клиент) отправляет клиенту всю цепочку (т.е. подписывает сертификаты) или только свой собственный сертификат?
Я заметил, что обычно отправляется только собственный сертификат, но мне было интересно, можно ли его настроить или нет смысла отправлять всю цепочку другой стороне.
Спасибо
Это настраивается.
Любой сертификат, который уже известен одноранговому узлу, не нужно отправлять (с оговоркой, что каждый сертификат в сертификате certificate_list должен напрямую удостоверять тот, который ему предшествует, за исключением первого сертификата, у которого нет предыдущего сертификата)
Никогда не имеет смысла отправлять корень, если предполагается, что партнер уже должен владеть им, чтобы в любом случае проверить его. Что касается промежуточных сертификатов, это зависит от вашей конкретной цепочки сертификатов.
Чтобы ответить на вопрос о клиенте, когда сервер запрашивает сертификат клиента, он отправляет список центров сертификации, которые он распознает. Клиенту нужно только отправить свою цепочку сертификатов одному из этих признанных центров сертификации.