CertificateRequest
Message de handshake TLS qui demande un certificat client, cœur du mTLS.
Définition
Par défaut TLS n'authentifie que le serveur. En envoyant CertificateRequest, le serveur signale qu'il exige aussi un certificat client : le client répond par ses messages Certificate et CertificateVerify. C'est précisément ce message qui transforme un TLS classique en mTLS, omniprésent entre points d'accès PEPPOL AS4 et sur les API B2B sécurisées. Le message porte les algorithmes de signature acceptés et, en TLS 1.2, la liste des autorités de certification de confiance.
Origine
Spécifié à la RFC 8446 §4.3.2 (TLS 1.3) et auparavant à la RFC 5246 §7.4.4 (TLS 1.2), publiées par l'IETF.
Exemple en contexte
Le point d'accès PEPPOL récepteur envoie CertificateRequest ; l'émetteur fournit alors son certificat X.509 et l'AS4 bascule en mTLS authentifié des deux côtés.