<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Feb 13, 2018 at 9:33 AM, Emmanuel Deloget <span dir="ltr"><<a href="mailto:logout@free.fr" target="_blank">logout@free.fr</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hello,<br>
<span class=""><br>
On Tue, Feb 13, 2018 at 7:14 AM, Kyle Hamilton <<a href="mailto:aerowolf@gmail.com">aerowolf@gmail.com</a>> wrote:<br>
<br>
> The only thing that the server can know is whether the client has<br>
> terminated the connection with a fatal alert.  If the client validates<br>
> presented cert chains, then its continuation with the connection means<br>
> that it passed validation.  If the client does not, or ignores any<br>
> given error, then it doesn't mean that it passed validation.<br>
><br>
> In other words, you can only know if the client's applied policy<br>
> allows the connection to continue.  You cannot know if the policy that<br>
> was applied was specifically related to the certificate chain<br>
> presented.<br>
><br>
> -Kyle H<br>
><br>
> On Mon, Feb 12, 2018 at 10:06 PM, J Decker <<a href="mailto:d3ck0r@gmail.com">d3ck0r@gmail.com</a>> wrote:<br>
> > Is there a way for a server to know if the client verified the cert chain<br>
> > successfully or not?<br>
><br>
<br>
</span>​From a security PoV, that doesn't help much. One can build a malicious<br>
version of openvpn that will tell you "everything's ok" (or "it failed!",<br>
depending of its goal)​. The server should not make any decision w.r.t. the<br>
client state (that's more or less what is implied by Kyle's answer ; I just<br>
wanted to stress it).<br>
<br></blockquote><div><br></div><div>Yes that is true.... however here's the scenario.</div><div>Client does a verification and passes or fails, and via the SSL layer I can query if the client validated the certificate.</div><div>If it failed, provide a option for the client to get a renewed certificate for verification.  If success, no action.</div><div>If an actor lies in this scenario he answers</div><div>lies *yes* and didn't, don't give him a means to actually verify. *noop*</div><div>lies *no* but did, then give him the root cert he already has.... *noop*</div><div><br></div><div>so I don't have to trust the reply.... I'm willing to give him the right root.</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
BR,<br>
<br>
-- Emmanuel Deloget<br>
</blockquote></div><br></div></div>