W jaki sposób Safari (w systemie iOS) decyduje, kiedy przedstawić certyfikat klienta SSL

0

Zainstalowałem certyfikat klienta SSL w wersji Safari dostarczanej z iOS 11.4.1. Najwyraźniej pozwala mi uzyskać dostęp do chronionej witryny zgodnie z oczekiwaniami.

Czy są jakieś szczególne problemy z prywatnością, które mogą wynikać z tej instalacji? W szczególności, w jaki sposób Safari decyduje o tym, kiedy prezentować certyfikaty takie jak moje na stronach internetowych? Idealnie chciałbym mieć konfigurację, w której Safari wiąże certyfikat z określoną witryną (lub adresem URL) i przedstawia certyfikat (tj. Próbuje się z nim uwierzytelnić) tylko podczas odwiedzania tej witryny. Czy to jest możliwe?

Drux
źródło

Odpowiedzi:

0

Safari (lub inny klient sieciowy) nie przedstawia swojego certyfikatu klienta, chyba że witryna zażąda tego. Twój certyfikat klienta jest więc bezpieczny. Serwer zawsze pyta o certyfikat, wysyłając własny certyfikat. Dlatego przeglądarka zobaczy, że certyfikat nie pasuje do tego, który posiadasz i spowoduje awarię, chyba że serwer wyśle ​​odpowiedni certyfikat do twojego, w takim przypadku możesz być pewien, że jesteś na dobrej stronie.

Jean Rostan
źródło
Czy to oznacza, że ​​klient najpierw sprawdza certyfikat serwera i tylko jeśli ten test przejdzie, przedstawi własne certyfikaty?
Drux
Tak, klient sprawdza certyfikat serwera za pomocą swojego klucza prywatnego, a następnie przedstawia swój klucz publiczny. Pamiętaj, że twój klucz publiczny jest taki, jak sugeruje publiczny: nie ma żadnych problemów, jeśli wyciek, to piękno krypto klucza publicznego. Jeśli ktoś przejmie Twój klucz publiczny, a stanie się to zgodnie z jego przeznaczeniem, nie będzie mógł nic z nim zrobić, chyba że będzie miał klucz prywatny, którego nigdy nie przedstawisz, użyjesz go tylko do lokalnego odszyfrowania.
Jean Rostan,
Dzięki. Moje obawy dotyczą prywatności (certyfikatu klienta SSL potencjalnie prezentowanego na zbyt szerokich zasadach, jak „uniwersalny plik cookie”), a nie kryptografii klucza publicznego jako takiej. Jeśli możesz wskazać dokumentację wyjaśniającą, w jakich okolicznościach Safari (wersja iOS) przedstawia, które certyfikaty („profile”) do których witryn, zaakceptuję twoją odpowiedź.
Drux,
0

Ta zaakceptowana odpowiedź jest błędna. Odnosi się do certyfikatów serwera, a nie certyfikatów uwierzytelniania klienta.

Odpowiedź brzmi: Safari pyta, kiedy serwer WWW jest ustawiony na wymaganie uwierzytelnienia certyfikatu.

W każdej przeglądarce, którą widziałem, przeglądarka nie wyświetli monitu o wybranie certyfikatu, jeśli nie ma żadnych certyfikatów podpisanych przez urząd certyfikacji, któremu ufa serwer.

michaelkrieger
źródło