Einzelnen Beitrag anzeigen

mjustin

Registriert seit: 14. Apr 2008
3.003 Beiträge
 
Delphi 2009 Professional
 
#6

AW: Indy/OpenSSL: Komplette Zertifikatskette im Client ermitteln

  Alt 26. Okt 2016, 12:39
Crosspost Info: Nachdem ich leider nicht weiter gekommen bin, habe ich das Thema jetzt auch mal auf StackOverflow gestellt: http://stackoverflow.com/questions/4...dy-and-openssl
Die Antwort ist ja nun online:

"The server does not send the Root CA because the client must already have it.. ... If the client does not have the root, then a bad guy can simply swap-in his root and chain."

Frei übersetzt lese ich das so: ohne das Root Zertifikat bereits auf einem anderen Weg dem Client bereitgestellt zu haben, kann man die Root CA nicht prüfen. Für die Prüfung muss man kontrollieren, ob das vorletzte Zertifikat mit dem Root-Zertifikat signiert wurde, nehme ich an.
Michael Justin
  Mit Zitat antworten Zitat