<p>Bonsoir,</p>
<p>Le 8 déc. 2011 23:34, "Adam Langley" <<a href="mailto:agl@google.com">agl@google.com</a>> a écrit :<br>
><br>
> On Thu, Dec 8, 2011 at 5:17 PM, Daniel Kahn Gillmor<br>
> <<a href="mailto:dkg@fifthhorseman.net">dkg@fifthhorseman.net</a>> wrote:<br>
> > This makes sense to me, but sending two separate intermediate certs<br>
> > seems to violate the TLS spec:<br>
><br>
> The TLS spec is mostly guidelines at this point. For this and other<br>
> examples, see <a href="http://www.imperialviolet.org/2011/02/04/oppractices.html">http://www.imperialviolet.org/2011/02/04/oppractices.html</a></p>
<p>Most crypto toolkits ignore the order of the certificates.</p>
<p>> > So the administrator of <a href="http://example.com">example.com</a> is still left with the necessity of<br>
> > getting a certificate from exactly one CA.<br>
><br>
> That is correct. I don't know any way around that at present.</p>
<p>2 certificates, one with an RSA key, the other with a DSA key. This is supported both by the protocol (SSL3 at least), and by Apache. The 2 certificates can of course be delivered by different CAs. I haven't tested the browsers' behavior, it may be a good thing to do ;)</p>

<p>-- <br>
Erwann.<br>
</p>