1

Правда ли, что сервер, настроенный на требование сертификата клиента, не может пострадать от уязвимости Heartbleed, если у этого пользователя нет сертификата клиента?

1 ответ1

1

Из RFC 6520:

   A HeartbeatRequest message can arrive almost at any time during the
   lifetime of a connection.  Whenever a HeartbeatRequest message is
   received, it SHOULD be answered with a corresponding
   HeartbeatResponse message.

Я полагаю, что это подразумевает, что это может произойти во время фазы "приветствия" TLS, когда клиент и сервер обмениваются сертификатами, то есть до того, как сервер скажет "нет" клиенту на основании сертификата или его отсутствия.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .