In einem Artikel habe ich gelesen, dass OpenSSL 1.0.2 es Ihnen ermöglicht, das Zertifikat je nach Clientkonfiguration auszuwählen. Beispielsweise unterstützt Windows XP frühes SP2 kein ECC-Zertifikat. Für diesen Server wird ein Zertifikat und für moderne Betriebssysteme ein anderes Zertifikat zurückgegeben.
Ich kann keine Beschreibung dieser Technologie finden. Wird sie von irgendeinem Webserver unterstützt?
Antwort1
Sie beziehen sich auf diesen Teil des verlinkten Artikels (hier, ins Englische übersetzt):
OpenSSL Version 1.0.2 ermöglicht Ihnen die Auswahl des Serverzertifikats basierend auf den Parametern des Clients. Leider erlaubt Nginx standardmäßig nicht die Verwendung mehrerer Zertifikate für ein einzelnes
server.
Dies scheint sich auf die folgende OpenSSL-Funktion zu beziehen:hinzugefügt in 1.0.2:
*) Zertifikatsrückruf hinzufügen. Wenn gesetzt, wird dieser aufgerufen, wenn ein Zertifikat vom Client oder Server benötigt wird. Eine Anwendung kann anhand beliebiger Kriterien entscheiden, welche Zertifikatskette sie vorlegen möchte, beispielsweise unterstützte Signaturalgorithmen. Sehr einfaches Beispiel zu s_server hinzufügen. Dies behebt viele der Probleme und Einschränkungen des bestehenden Client-Zertifikatsrückrufs: Sie können jetzt beispielsweise ein bestehendes Zertifikat löschen und die gesamte Kette angeben. [Steve Henson]
Bisher konnte ich weder Hinweise darauf finden, dass nginx diese Funktionalität unterstützt, noch dass es inoffizielle Patches gibt. Auch habe ich bei einem schnellen Blick nichts Relevantes für Apache oder einen anderen Webserver gefunden. Ich bin sicher, dass es irgendwann hinzugefügt wird, aber wenn Sie es wirklich bald brauchen, würde ich vorschlagen, auf der nginx-Mailingliste danach zu fragen.