Представьте себе SSL-сертификат со следующими параметрами - мы создадим наихудший из возможных сертификатов, сделав все возможное неправильно:
- Старый, уязвимый шифр
- Уязвимый алгоритм подписи
- Неправильная подпись (подпись не соответствует содержанию)
- Явно отозван (сертификат на CRL, который мы используем)
- CA явно помечен как ненадежный в хранилище сертификатов
- Неверное доменное имя /CN для подключения
- Истекший
- Дубликат другого сертификата для другого домена
- Сам подписан
Из всех этих состояний ошибок для сертификата, в каком порядке они проверяются пользовательским агентом?
Или, говоря иначе, если бы я использовал этот ужасный сертификат на веб-сайте, какое сообщение об ошибке я бы получил - и как только я это исправлю, что будет дальше, и так далее.
Все эти ошибки имеют различные последствия для безопасности соединения, поэтому некоторые ошибки объективно более страшны, чем другие, но существует ли где-то определенный стандарт, в котором указывается "приоритет" этих проблем? (То есть, говорить, что срок действия сертификата истек, глупо, если он используется не на том веб-сайте и использует неработающее шифрование)