Вопрос по https, certificate – https сертификат клиента выход / повторный доступ

12

У меня есть веб-сайт, использующий проверку подлинности с помощью SSL-сертификата. Как заставить веб-браузер с сервера снова запросить сертификат для использования? Это будет полезно для выхода из системы, но в данном случае используется переключение личности пользователя.

Я помню что-то о направлении пользователя на страницу, настройки ssl которой несовместимы с текущим сертификатом аутентификации, но не смогли найти правильные настройки.

Моя установка использует apache mod-ssl, но также приветствуется решение IIS.

Обновление: я специально спрашиваю серверную сторону: как настроить URL на том же имени хоста, которое требует клиентских сертификатов, но отклоняет все сертификаты.

Для Firefox,javascript:window.crypto.logout(); работает с незначительными неудобствами для пользователя (которые, я считаю, могут быть написаны по сценарию).

Самый простой способ - просто перезапустить веб-браузер. Robert

Ваш Ответ

3   ответа
6

безусловно, одна из причин, по которой использование клиентских сертификатов может быть утомительным для большинства пользователей).

Со стороны клиента есть некоторые методы JavaScript, но они не поддерживаются повсеместно (см.этот вопро).

Используя Apache Tomcat 7, вы можете аннулировать сеанс SSL / TLS, используя атрибут запроса, как описано вэтот вопро.

Я не знаю ни одного хука, который позволил бы вам сделать это с Apache Httpd (иmod_ssl). Механизмы, используемые в Apache Httpd (например,mod_php, CGI, FCGI, ...) обычно не могут изменять какие-либо настройки или переменные среды, установленныеmod_ssl, что необходимо для аннулирования сеанса.

На IIS,этот вопро до сих пор остается без ответа.

Общий способ, с точки зрения браузера, состоит в том, чтобы перейти к его настройке и очистить состояние SSL (это зависит от браузера, но обычно требуется, по крайней мере, несколько диалоговых окон, а не просто быстрая кнопка, по крайней мере, не без плагина).

Есть ли такой плагин для Firefox? David Balažic
Я нашел ClearSslCache, который, по-видимому, делает то же самое, что и Очистить всю историю / Активные логины, одним щелчком мыши (один щелчок по новой кнопке панели инструментов, затем один, чтобы подтвердить (испанский) диалог «Вы уверены?») David Balažic
1

rnet Explorer): своего состояния Очистить SSL, перейдя в Инструменты> Свойства обозревателя> Содержимое (вкладка)> Очистить состояние SSL.

В Firefox (до версии 20) вы можете сделать: Инструменты | Начать приватный просмотр.

Затем посетите страницу, о которой идет речь. Или затем выполните «Инструменты | Остановить приватный просмотр», а затем ...

Затем, когда вы перезагрузите страницу, на которой она находится, она предложит вам представить новый сертификат клиента (если у вас есть более одного сертификата от CA, которому доверяет ваш сервер). В противном случае, если у вас есть только один сертификат, он будет использовать один и только один сертификат клиента PKI, который находится в вашем магазине.

0

https: //security.stackexchange.com/questions/36853/is-it-possible-to-force-a-new-ssl-session

На стороне клиента сеансы SSL обычно хранятся в оперативной памяти. Internet Explorer, например, внутренне состоит из нескольких процессов, которые общаются друг с другом, и вам нужно убить их всех, чтобы заставить его забыть сеанс SSL (на практике это происходит только тогда, когда вы закрыли все окна IE).

Альтернативой может быть закрытие браузера с помощью JavaScript.

Похожие вопросы