Re[2]: SSL - How client certificates are verified?

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

 



I want to make a page that will authenticate only with PKCS11 tokens.
These tokens contain only certificates from a recognized authority.
OCSP would be usefull if the token has been declared lost or stolen.
But I don't want to make things too complicated.
 
 
------ Original Message ------
From: "Marat Khalili" <mkh@xxxxxx>
To: users@xxxxxxxxxxxxxxxx
Sent: 8/23/2015 6:51:02 PM
Subject: Re: SSL - How client certificates are verified?
 
Hello, what is your scenario? If you issue (sign) client certificates yourself, Apache can correctly verify it against local CRL (certificate revocation list) file (server restart may be required after file update). There's information in the net concerning OCSP support for client authentication in newer versions of Apache (google SSLOCSPEnable), but I can see no real use for it save for some very complicated systems.
--

With Best Regards,
Marat Khalili

On 23/08/2015 09:51, Sterpu Victor wrote:
Hello
 
I have a web page that asks for client certificate.
These are the options for this:
 
SSLVerifyClient require
SSLVerifyDepth 10

How does SSLVerifyClient  verifies the client certificate?
This option protects against certificates manual made with a fake public-private key pair?
So can someoane make a certificate identical with the original, attach another set of public and private keys and pretend to be someoane else?
 
Thank you



Avast logo

This email has been checked for viruses by Avast antivirus software.
www.avast.com



DISCLAIMER:
Acest mesaj de posta electronica si documentele aferente sunt confidentiale. Este interzisa distribuirea, dezvaluirea sau orice alt mod de utilizare a lor. Daca nu sunteti destinatarul acestui mesaj, este interzis sa actionati in baza acestor informatii. Citirea, copierea, distribuirea, dezvaluirea sau utilizarea in alt mod a informatiei continute in acest mesaj constituie o incalcare a legii. Daca ati primit mesajul din greseala, va rugam sa il distrugeti, anuntand expeditorul de eroarea comisa. Intrucat nu poate fi garantat faptul ca posta electronica este un mod sigur si lipsit de erori de transmitere a informatiilor, este responsabilitatea dvs. sa va asigurati ca mesajul (inclusiv documentele alaturate lui) este validat si autorizat spre a fi utilizat in mediul dvs.






Avast logo

This email has been checked for viruses by Avast antivirus software.
www.avast.com



DISCLAIMER:
Acest mesaj de posta electronica si documentele aferente sunt confidentiale. Este interzisa distribuirea, dezvaluirea sau orice alt mod de utilizare a lor. Daca nu sunteti destinatarul acestui mesaj, este interzis sa actionati in baza acestor informatii. Citirea, copierea, distribuirea, dezvaluirea sau utilizarea in alt mod a informatiei continute in acest mesaj constituie o incalcare a legii. Daca ati primit mesajul din greseala, va rugam sa il distrugeti, anuntand expeditorul de eroarea comisa. Intrucat nu poate fi garantat faptul ca posta electronica este un mod sigur si lipsit de erori de transmitere a informatiilor, este responsabilitatea dvs. sa va asigurati ca mesajul (inclusiv documentele alaturate lui) este validat si autorizat spre a fi utilizat in mediul dvs.



[Index of Archives]     [Open SSH Users]     [Linux ACPI]     [Linux Kernel]     [Linux Laptop]     [Kernel Newbies]     [Security]     [Netfilter]     [Bugtraq]     [Squid]     [Yosemite News]     [MIPS Linux]     [ARM Linux]     [Linux Security]     [Linux RAID]     [Samba]     [Video 4 Linux]     [Device Mapper]

  Powered by Linux