<p><br>
Le 9 déc. 2011 00:16, "Adam Langley" <<a href="mailto:agl@google.com">agl@google.com</a>> a écrit :<br>
><br>
> On Thu, Dec 8, 2011 at 6:10 PM, Erwann Abalea <<a href="mailto:eabalea@gmail.com">eabalea@gmail.com</a>> wrote:<br>
> > 2 certificates, one with an RSA key, the other with a DSA key. This is<br>
> > supported both by the protocol (SSL3 at least), and by Apache. The 2<br>
> > certificates can of course be delivered by different CAs. I haven't tested<br>
> > the browsers' behavior, it may be a good thing to do ;)<br>
><br>
> That certainly works, but the server selects only one certificate<br>
> chain to serve based on the selected cipher suite. Since the client's<br>
> advertised cipher suites are basically fixed, a given client will<br>
> always get the same chain, so I don't believe that this achieves the<br>
> CA redundancy that Daniel was looking for.</p>
<p>True. That was a stupid idea, I just noticed this while reading RFC2246. <br>
This would require the client to send 2 different ciphersuites with the hope that 2 different certificates would show. With ECDSA, you can extend this stupid behavior to 3 different stuff.</p>
<p>-- <br>
Erwann.</p>