假设我们使用RSA和“BCA”ECC有2个CA“ACA”,它们都为服务器颁发TLS证书。 ACA受到大多数客户的信任,而BCA只受到少数客户的信任。
虽然ACA值得信赖,但RSA总是需要更多时间。因此,我们希望BCA签署的证书能够被所有信任BCA的客户所青睐,而其他客户则会回归ACA。
据我所知,可以为域配置多个证书。至少在nginx上,但客户端总是使用我在nginx的snginx.conf配置文件中作为第二个证书条目的证书。
服务器是否有可能在可能的情况下处理EC证书,但如果客户端不信任证书则可以处理RSA?
答案 0 :(得分:1)
客户端不提供其信任的CA的任何信息。这意味着服务器无法根据客户端信任设置决定要提供哪个证书。服务器必须决定使用哪些证书的唯一信息是查看客户端提供的密码,即如果客户端支持ECDSA密码则使用ECC证书,否则使用RSA证书。