安全cookie和无效证书

时间:2012-03-07 17:11:42

标签: security http cookies https

是否应将安全cookie发送到具有无效证书的HTTPS服务器?我的意思是,我有一个HTTPS服务器提供的应用程序,它在登录步骤后发送一个带有安全标志的cookie。如果证书无效,我的服务器是否应该收回cookie?这是否正常化(似乎不是),有人能指出我的标准的相关部分吗?

3 个答案:

答案 0 :(得分:4)

证书是否有效实际上并不重要。如果在浏览站点时检测到无效证书,大多数浏览器会告诉用户证书无效,并让用户确定是否要继续。

关于cookie的“安全”部分,所有这一切都告诉浏览器该cookie仅对https连接有效,不应通过常规http连接传输。

这意味着是的,您的服务器应该从浏览器接收cookie,前提是所访问的URL是https网址。即使服务器的证书无效。

答案 1 :(得分:4)

是的,cookie with Secure flag set is only sent for TLS/SSL secured connections

  

如果cookie的secure-only-flag为true,则request-uri的方案必须表示“安全”协议(由用户代理定义)。 [...]通常,如果协议使用传输层安全性(例如SSL或TLS),则用户代理会认为协议是安全的。例如,大多数用户代理将“https”视为表示安全协议的方案。

但是要建立TLS / SSL连接,只关注证书是否可信。证书如何被信任并不重要,i。即是自动还是手动信任。

答案 2 :(得分:0)

还有RFC 2965中的这一陈述已被RFC 6265废弃:

  

用户代理(可能与用户交互)可以确定什么   它认为适合的安全级别"安全"饼干。   Secure属性应该被视为来自的安全建议   服务器到用户代理,表明它在会话中   保护cookie内容的兴趣。 当它发送"安全"   cookie回到服务器,用户代理应该使用不少于   与收到cookie时使用的安全级别相同   来自服务器