https đăng xuất chứng chỉ ứng dụng khách/relogin

Question

Tôi có một trang web sử dụng xác thực chứng chỉ ssl. Làm cách nào để buộc trình duyệt web từ máy chủ hỏi lại chứng chỉ sẽ được sử dụng? Có thể sử dụng được đăng xuất, nhưng trường hợp sử dụng ở đây đang chuyển đổi nhận dạng người dùng.

Tôi nhớ điều gì đó về việc hướng người dùng đến trang có cài đặt ssl không tương thích với chứng chỉ xác thực hiện tại nhưng không thể tìm thấy cài đặt phù hợp.

Thiết lập của tôi sử dụng apache mod-ssl, nhưng giải pháp IIS cũng sẽ được chào đón.

Cập nhật: Tôi đặc biệt yêu cầu phía máy chủ: cách thiết lập URL trên cùng tên máy chủ yêu cầu chứng chỉ ứng dụng khách nhưng từ chối tất cả chứng chỉ.

Đối với Firefox, javascript:window.crypto.logout(); không hoạt động với sự bất tiện của người dùng nhỏ (mà tôi cho là có thể được viết xung quanh).

Answer 1

Điều này khá khó khăn nói chung (và chắc chắn một trong những lý do tại sao việc sử dụng chứng chỉ ứng dụng khách có thể tẻ nhạt đối với hầu hết người dùng).

Từ phía máy khách, có một số kỹ thuật JavaScript, nhưng chúng không được hỗ trợ trên bảng (xem this question).

Sử dụng Apache Tomcat 7, bạn có thể vô hiệu hóa phiên SSL/TLS bằng thuộc tính yêu cầu, như được mô tả trong this question.

Tôi không biết bất kỳ móc nào cho phép bạn thực hiện việc này với Apache Httpd (và mod_ssl). Các cơ chế có thể sử dụng được sau Apache Httpd (ví dụ: mod_php, CGI, FCGI, ...) thường không thể thay đổi bất kỳ cài đặt hoặc biến môi trường nào được đặt bởi mod_ssl, điều này sẽ cần thiết để làm mất hiệu lực phiên.

Trên IIS, this question vẫn chưa được trả lời. Một cách tổng quát, từ quan điểm trình duyệt, là đi vào thiết lập của nó và xóa trạng thái SSL (điều này thay đổi tùy thuộc vào trình duyệt, nhưng thường đòi hỏi một vài hộp thoại ít nhất, không chỉ là một nút nhanh chóng , ít nhất không phải không có plugin).

Answer 2

Từ trình duyệt web phía máy khách, bạn có thể thực hiện việc này cho MSIE (Internet explorer): Trạng thái SSL rõ ràng bằng cách đi tới Công cụ> Tùy chọn Internet> Nội dung (tab)> Xóa trạng thái SSL.

Trong firefox (trước phiên bản 20), bạn có thể thực hiện: Công cụ | Bắt đầu duyệt web riêng tư.

Sau đó truy cập trang được đề cập. Hoặc sau đó thực hiện "Công cụ | dừng duyệt web riêng tư" và sau đó ...

Sau đó, khi bạn tải lại trang bạn đang ở trên nó sẽ nhắc bạn trình bày chứng chỉ ứng dụng khách mới (nếu bạn có nhiều chứng chỉ từ CA mà máy chủ của bạn tin tưởng). Ngược lại, nếu bạn chỉ có một chứng chỉ, nó sẽ sử dụng một và chỉ một chứng chỉ máy khách PKI có trong cửa hàng của bạn.

Answer 3

Đối logout đọc bài này: https://security.stackexchange.com/questions/36853/is-it-possible-to-force-a-new-ssl-session#

Về phía khách hàng, phiên SSL thường giữ trong RAM.Internet Explorer, ví dụ, nội bộ bao gồm một số quá trình nói chuyện với nhau, và bạn phải giết tất cả để làm cho nó quên một phiên SSL (trong thực tế, điều này xảy ra chỉ khi bạn đã đóng tất cả các cửa sổ IE).

Một cách khác có thể là đóng trình duyệt bằng javascript.