<p dir="ltr">I've been reading/hearing different opinions on the recent vulnerability for cert chain forging that was patched (CVE-2015-1793).</p>
<p dir="ltr">Some people are saying the vulnerability only exists if a system is using certificate-based client authentication (mutual auth, where both server and client are authenticated).  Basically, that the chain forging can only be done on the client side.</p>
<p dir="ltr">Others are saying certs can be forged on the server, on implementations that use only server-side authentication, and if the client is using OpenSSL it will verify/accept the forged chain.  The could effectively result in MitM against OpenSSL clients.</p>
<p dir="ltr">Can anyone on this list clarify with details?</p>
<p dir="ltr">Thanks,<br>
Colin</p>
<p dir="ltr">sent from mobile</p>