En un artículo leí que Openssl 1.0.2 le permite seleccionar el certificado, según la configuración del cliente. Por ejemplo, Windows XP SP2 inicial no admite el certificado ECC. para este servidor devolverá un certificado y otro certificado para el sistema operativo moderno.
No puedo encontrar una descripción de esta tecnología. ¿Algún servidor web lo soporta?
Respuesta1
Te refieres a esta parte del artículo vinculado (aquí, traducido al inglés):
OpenSSL versión 1.0.2 le permite seleccionar el certificado del servidor según los parámetros del cliente. Desafortunadamente, Nginx no permite el uso de múltiples certificados para un solo archivo
server.
Esto parece referirse a la siguiente característica de OpenSSL,añadido en 1.0.2:
*) Agregar devolución de llamada de certificado. Si se establece, esto se llama cada vez que el cliente o el servidor requiere un certificado. Una aplicación puede decidir qué cadena de certificados presentar basándose en criterios arbitrarios: por ejemplo, algoritmos de firma admitidos. Agregue un ejemplo muy simple a s_server. Esto soluciona muchos de los problemas y restricciones de la devolución de llamada del certificado de cliente existente: por ejemplo, ahora puede borrar un certificado existente y especificar toda la cadena. [Steve Henson]
Hasta ahora no puedo encontrar evidencia de que nginx admita esta funcionalidad, ni de parches no oficiales. Tampoco, de un vistazo rápido, encontré nada relevante para Apache o cualquier otro servidor web. Estoy seguro de que eventualmente se agregará, pero si realmente lo necesita pronto, le sugiero que pregunte en la lista de correo de nginx.