TLS/SSL server certificato
Il TLS (precedentemente noto come SSL) è un server richiesto per presentare un certificato come parte della configurazione iniziale della connessione.
Un client che si connette a tale server eseguirà l’algoritmo di convalida del percorso di certificazione:
- L’oggetto del certificato corrisponde al nome host a cui il client cerca di connettersi
- Il certificato è firmato da un’autorità di certificazione attendibile.
Il nome host principale (nome di dominio del sito) viene elencato come Nome comune nel campo Oggetto del certificato. Un certificato può essere valido per più nomi host (più siti web). Tali certificati sono comunemente denominati certificati SAN (Subject Alternative Name) o certificati di comunicazione unificata (certificati UCC). Se alcuni dei nomi host contengono un asterisco (*), un certificato può anche essere chiamato un certificato wildcard.
Un server TLS può essere configurato con un certificato auto-firmato. In questo caso, i client non saranno in genere in grado di verificare il certificato e terminano la connessione a meno che il controllo dei certificati non sia disattivato.
TLS/SSL client certificato
I certificati client sono meno comuni dei certificati server e vengono utilizzati per autenticare il client che si connette a un servizio TLS, ad esempio per fornire un controllo di accesso. Poiché la maggior parte dei servizi fornisce l’accesso agli individui, piuttosto che ai dispositivi, la maggior parte dei certificati client contengono un indirizzo email o un nome personale piuttosto che un nome host. Inoltre, poiché l’autenticazione è di solito gestita dal provider di servizi, i certificati client non vengono generalmente rilasciati da una CA pubblica che invece fornisce certificati server. I certificati client sono supportati da molti browser Web, ma la maggior parte dei servizi utilizza password e cookie per autenticare gli utenti, anziché i certificati client.I certificati client sono più comuni nei sistemi RPC, in cui vengono utilizzati per autenticare i dispositivi per garantire che solo dispositivi autorizzati possano effettuare chiamate RPC.
