Правда ли, что сервер, настроенный на требование сертификата клиента, не может пострадать от уязвимости Heartbleed, если у этого пользователя нет сертификата клиента?
1 ответ
1
Из RFC 6520:
A HeartbeatRequest message can arrive almost at any time during the
lifetime of a connection. Whenever a HeartbeatRequest message is
received, it SHOULD be answered with a corresponding
HeartbeatResponse message.
Я полагаю, что это подразумевает, что это может произойти во время фазы "приветствия" TLS, когда клиент и сервер обмениваются сертификатами, то есть до того, как сервер скажет "нет" клиенту на основании сертификата или его отсутствия.