Использование сертификата с сервера или клиента даст конечным точкам возможность обмена общим секретом (симметричный ключ шифрования - или семя).
вторичной цели сертификата (и тот, который гораздо менее заемные средств в эти дни, по сравнению с «шифрованием канала между конечными точками») является аутентификацией конечной точки подачи их цифрового сертификата (с использованием сертификата и доказательство владения, которое они также посылают).
В настоящее время подавляющее большинство транзакций SSL фактически беспокоит только «шифрование канала», а не аутентификацию конечной точки. (Практически говоря, это побочный эффект от коммерческого интернета, хотя масса нападений «человек-в-середине» там дает нам все больше стимулов, чтобы попытаться выяснить, как на самом деле знаю вы разговариваете с сервером - или клиент - вы считаете себя.)
Другими словами, сертификат клиента был бы полезен для аутентификации (более или менее «более сильной»), с которой сервер взаимодействует либо с (a), либо с «более» (если все, что вы делали, было гарантией того, что сертификат входит в список доверенных сертификатов, например, сопоставлен с каталогом LDAP/AD пользователей, которые вы считаете «доверенными», или выданными из ЦС, методы выдачи которых вы «доверяете» ») или (б) конкретный пользователь, который вы аутентифицируете (например, снова через базу данных LDAP/AD пользователя, одну или несколько необычных или более), которые были сопоставлены с этим за счет некоторых автоматических или внеполосных - но в любом случае, надеюсь, достаточно безопасный процесс).
Проверка не имеет ничего общего с IP-адресом; это всего лишь базовый механизм передачи данных, но не играет никакой роли в каких-либо действиях с сертификатами. Проверка выполняется на основе клиента, проверяющего содержимое сертификата на доверенную стороннюю подпись и данные, которые сервер может генерировать только в том случае, если он имеет секретный секретный ключ, принадлежащий сертификату. * Сервер, доказывающий владение секретным ключом + доверенная сторонняя подпись сертификата + имя сертификата равна контактному домену = доверие. * – deceze
@deceze Проверка имени хоста является частью HTTPS, но не TLS. Сертификат проверяется против доверенного стороннего * сертификата * плюс цифровая подпись сервера на всей бирже Si far, которую может генерировать только закрытый ключ сервера. – EJP
@ EJP Достаточно честно, проверка домена не входит в сферу TLS в частности. – deceze