是否有可能根据客户端浏览器使用或协商不同的SSL证书
问题描述:
我现在正在使用让我们加密,而且我计划从现在开始使用我自己的CA.用途用于个人媒体服务器和云存储。是否有可能根据客户端浏览器使用或协商不同的SSL证书
现在我可以安装我自己的设备上的根CA,但有时我让游客当我分享的东西。我提供了为访问者安装的证书,而不是所有人都这样做。
我的问题是,是否可以使用,如果它被安装在客户机系统/浏览器,否则退却和使用我们的加密我的根CA签名的证书。
让我们的加密是不够好,但重新发布每3个月和verifiying域是一个痛苦,特别是在没有外卡。
答
不可以。ClientHello消息不包含关于已识别的CA的任何信息。
您描述并没有真正意义上的我的问题:如果你用Let的加密作为后备,你希望客户需要此回退,那么你需要无论如何更新让我们的加密证书,所有的时间。在这种情况下,为什么通过尝试将自己的CA另外用于Let's Encrypt证书来增加复杂性?即使您不使用LE证书:正确管理您自己的CA基础架构(使用OCSP响应器,CRL ...)可能比以自动方式每隔几个月更新Let's Encrypt证书更加费力。 –
不在同一个域中。但是,如果您的服务器可以配置为在两个域(具有不同的DNS名称)上提供相同的内容,则可以这样做 - 一个用于自签名,另一个用于let's-encrypt。顺便说一句:有让我们加密客户端可用,使一切自动。 – Robert