クライアント（Java、C++など）で正常なhttps接続を確立するために有効なデジタル証明書が必要ですか？

Question

私はサーバーにhttps要求を行う小型のスタンドアロンプ​​ログラムを実装する予定です。クライアントで有効なSSL証明書が必要ですか？その場合、SSLハンドシェイクはどのように機能しますか？クライアントにSSL証明書を持たないセキュリティ上の問題はありますか？

Answer 1

通常、ネットワークトラフィックを暗号化する以外に、HTTPSはサーバーの認証に使用されます。つまり、クライアントがサーバーの所有者に関する情報を安心して提供できるようにするために、クライアントはサーバーによって発行された証明書の信頼チェーンを検査する必要があります。これを自動的に行うには、クライアントマシンに、サーバーの証明書を発行した証明機関を記述した証明書がインストールされている必要があります。通常、このような証明書は "信頼されたルート証明機関"と呼ばれる店舗のマシン上にあり、ほとんどのOSには共通のCAがすでにインストールされています。

さらに、多くのWebサーバーでは、クライアントがクライアント証明書を提供することによってサーバーに対して自身を認証できる機能を提供しています。 Webサーバーは、クライアントから送信された証明書を検査し、サーバー上の一連の権限にマップすることができます。この "クライアント認証"は、動作中のHTTPSセッションには必要ありませんが、単なる選択肢です。

要するに、あなたは実際には、クライアント上でにすべての証明書は必要ありませんが、おそらくは、サーバーのIDを検証するために、ルートCA証明書を持っていることになるでしょう。その証明書を持っていない場合は、サーバーを信頼することはできません（そうする別の理由がある場合を除きますが）とにかくデータを交換することもできます。

Answer 2

HTTPS接続を確立するための証明書は必要ありませんが、通信相手と知りたい場合は、必要があります。

Answer 3

クライアント証明書は、サーバーに必要な場合にのみ必要です。クライアント証明書により、サーバーはクライアントを認証できますが、これはサーバーに許可されたすべてのクライアントのリストがある場合にのみ有効です。これは一般的にWebサーバーの場合には当てはまりませんので、クライアント証明書を要求することはまれです。

存在する場合、クライアント側の証明書は、セキュリティで保護されたチャネルの確立に影響を与えません。 （サーバーの証明書のみが必要となり、クライアント証明書を追加してもプロセスは変更されません）。セキュリティで保護されたチャネルが確立されると、サーバーはクライアントの証明書を使用してクライアントを認証しますキーまたは名前に許可されたクライアントのリストを含む）。

Answer 4

あなたはHTTPSハンドシェイクとどのような交渉されるの詳細を学びたい場合は、私は完全にあなたがこの素晴らしい書き込みアップでmoserware

http://www.moserware.com/2009/06/first-few-milliseconds-of-https.html