Aller au contenu principal

2.3. Client-Cert-Chain HTTP Header Field (Champ d'en-tête HTTP Client-Cert-Chain)

2.3. Client-Cert-Chain HTTP Header Field (Champ d'en-tête HTTP Client-Cert-Chain)

Dans le contexte d'un déploiement de proxy inverse terminant TLS, le proxy PEUT rendre la chaîne de certificats disponible pour l'application backend avec le champ d'en-tête HTTP Client-Cert-Chain.

Client-Cert-Chain est une List (liste) (Section 3.1 de [STRUCTURED-FIELDS]). Chaque élément de la liste DOIT être une Byte Sequence (séquence d'octets) encodée comme décrit dans la Section 2.1. L'ordre est le même que l'ordre dans TLS (comme décrit dans la Section 4.4.2 de [TLS]).

Client-Cert-Chain NE DOIT PAS apparaître sauf si Client-Cert est également présent, et il n'inclut pas lui-même le certificat d'entité terminale qui est déjà présent dans Client-Cert. Le certificat racine PEUT être omis de Client-Cert-Chain, à condition que le serveur d'origine cible soit connu pour posséder l'ancre de confiance (trust anchor) omise.

Le champ d'en-tête Client-Cert-Chain est uniquement destiné à être utilisé dans les requêtes HTTP et NE DOIT PAS être utilisé dans les réponses HTTP. Il PEUT avoir une liste de valeurs ou apparaître plusieurs fois dans une requête. À des fins de compression d'en-tête, il pourrait être avantageux de diviser les listes en plusieurs instances.

La Figure 3 de l'Annexe A contient un exemple du champ d'en-tête Client-Cert-Chain.

Dernière mise à jour le