Re: [offtopic] клиентские SSL-сертификаты

[Evgeniy Berdnikov]

On Mon, Jul 18, 2016 at 11:05:12AM +0300, Vladislav Shabanov wrote:
> Пусть есть сайт ABC, на котором внедрили клиентские SSL-сертификаты
> для сотрудников. Такой сайт любому зашедшему браузеру сообщает, что
> принимает сертификаты, выданные организацией ZZZ. Если это
> сотрудник, то он сможет передать сертификат, сайт сможет его
> проверить, принять решение и т. д. Если нет, то будет выдана
> какая-то страница ??в доступе отказано??.

 Мне кажется, что запрос сертификата в SSL/TLS делается передачей клиенту
 какого-то флага (бита), там нет места для указания развесистых условий
 вроде "в DN сертификата поле OU должно быть непустым и совпадать со
 сторокой ZZZ". То есть сказать браузеру "я принимаю сертификаты для
 организации ZZZ" сервер не имеет технической возможности.

> Вопрос вот в чём: нехороший человек это заметил и настроил свой сайт
> DEF так, чтобы во время SSL handshake тот тоже сообщал всем
> браузерам, что принимает сертификаты организации с названием
> ZZZ. Правильно ли я понимаю, что сотрудники компании ZZZ после этого
> уже никогда не смогут посещать сайт DEF анонимно? Браузер ведь будет
> тупо выдавать единственный установленный сертификат, у которого имя
> организации совпало?

 Соответственно, сайт может лишь попросить сертификат. А что ему вернут
 зависит от того, как ведёт себя браузер. У браузера есть много вариантов
 для выбора, прежде всего спросить юзера, хочет ли он передавать
 клиентский сертификат.
-- 
 Eugene Berdnikov