HTTPS-Server: Multiple SSL Zertifikat-Alternativen anbieten

Verschiedene Anbieter bieten SSL-Zertifikate für Webseiten bzw. für Webserver (wie Apache, z.B. http://StartSSL.com/). Solche Zertifikate haben üblicherweise eigene, dem Zertifikat zugeordnete private Schlüssel, tragen aber jeweils nur die Unterschrift des jeweiligen Ausstellers (Signierer).
Verschiedene Clients vertrauen verschiedenen Signierern unterschiedlich. So kann z.B. ein Admin, der seine eigene CA ist, am meisten seinen eigenen Signaturen vertrauen, mehr noch als Fremd-Signaturen, selbst wenn letztere von einer öffentlich anerkannten CA stammen. Auch kann es vorkommen, dass auf dem Client die CA-Zertifikate des auf dem Server primär verwendeten Signierers gar nicht zum Abgleich zur Verfügung stehen, wohl aber die eines anderen Signierers.
Nun kann ein Webserver einem Client natürlich nicht die Verwendung eines völlig beliebigen Zertifikats erlauben. Umgekehrt macht es aber Sinn, wenn der Client eine Prioritätsliste der Vertraubarkeit verschiedener Signierer vorhält und wenn in Verbindungen stets ein Zertifikat zum Einsatz kommt, dem auf Client-Seite maximal vertraut wird.
Um dies zu realisieren wäre es daher zweckmäßig, wenn bei der Aushhandlung der SSL-Verbindung der Client die Möglichkeit hätte, die zum Einsatz kommende Zertifikat-Schlüssel-Kombination selbst aus multiplen zur Verfügung stehenden Zertifikaten auszuwählen.

358 mal insgesamt angesehen, 1 mal heute angesehen.
Dieser Beitrag wurde unter Bug reports & Feature requests, Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.