【发布时间】:2013-12-23 09:01:07
【问题描述】:
我读过 this kb article 描述了如何使用 http 请求发送证书,以及 and this one 描述了服务器如何验证证书。但是,我是否正确,这 没有 验证发件人实际上是证书的所有者?我认为建立所有权,必须进行进一步的交换,服务器将要求客户端使用其(客户端的)私钥加密某些内容,然后服务器将使用证书提供的公钥对其进行解密.这类似于 ssl 握手的一部分。
我要澄清的是,简单地发送带有请求的证书并不能证明任何有关客户端身份的信息,因为它可能被中间人攻击欺骗或破坏。对吧?
【问题讨论】:
标签: .net certificate x509certificate