Незашифрованный протокол SSL?
Действительно ли возможно отправить сообщение по https, который не шифруется? Например, потребуйте, чтобы проверка сертификата и авторизация произошли, но не зашифровали фактические данные, отправляемые по сокету?
4 ответа
Да, TLS и SSL поддерживают режимы «без шифрования». Настроены ли конкретный клиент и сервер для включения - это отдельный вопрос.
Возможно, хотя и маловероятно, что сервер может включить один из этих наборов шифров по умолчанию. Более вероятно, что сервер по умолчанию включит слабые комплекты шифров (такие как «экспортные» комплекты на основе DES). Вот почему вам следует внимательно просмотреть белый список наборов шифров сервера, а оставить только несколько надежных, широко поддерживаемых алгоритмов.
Вы можете использовать набор шифров TLS_RSA_WITH_NULL_SHA, среди прочего, для защиты подлинности и целостности трафика , без шифрования.
«RSA» в этом случае относится к алгоритму обмена ключами, а «SHA» относится к алгоритму аутентификации сообщения, который используется для защиты трафика от изменений. «NULL» - это алгоритм шифрования, или, в данном случае, отсутствие шифрования.
Важно понимать, что трафик, хотя он и не зашифрован, объединен в записи SSL. На клиенте и сервере должен быть включен протокол SSL.
Если вы ищете решение с пониженной производительностью, при котором некоторые данные обмениваются через SSL, тогда SSL отключается, но трафик приложений продолжается, что тоже возможно, но имейте в виду что он не предлагает абсолютно никакой защиты для трафика открытого текста; он может быть взломан злоумышленником. Так, например, проверка подлинности с помощью SSL с последующим переходом к протоколу «в открытом доступе» для получения команд, использующих согласованную через SSL проверку подлинности, будет небезопасной.
или, в данном случае, отсутствие шифрования.Важно понимать, что трафик, хотя он и не зашифрован, объединен в записи SSL. Клиент и сервер должны иметь поддержку SSL.
Если вы ищете решение с пониженным уровнем, при котором некоторые данные обмениваются через SSL, тогда SSL отключается, но трафик приложений продолжается, что тоже возможно, но имейте в виду что он не предлагает абсолютно никакой защиты для трафика открытого текста; он может быть взломан злоумышленником. Так, например, проверка подлинности с помощью SSL с последующим переходом к протоколу «в открытом доступе» для получения команд, использующих согласованную через SSL проверку подлинности, будет небезопасной.
или, в данном случае, отсутствие шифрования.Важно понимать, что трафик, хотя он и не зашифрован, объединен в записи SSL. Клиент и сервер должны иметь поддержку SSL.
Если вы ищете решение с пониженным уровнем, при котором некоторые данные обмениваются через SSL, тогда SSL отключается, но трафик приложений продолжается, что тоже возможно, но имейте в виду что он не обеспечивает абсолютно никакой защиты для трафика открытого текста; он может быть взломан злоумышленником. Так, например, проверка подлинности с помощью SSL с последующим переходом к протоколу «в открытом доступе» для получения команд, использующих согласованную через SSL проверку подлинности, будет небезопасной.
Клиент и сервер должны иметь поддержку SSL.Если вы ищете решение с пониженным уровнем, при котором некоторые данные обмениваются через SSL, тогда SSL отключается, но трафик приложений продолжается, что тоже возможно, но имейте в виду что он не обеспечивает абсолютно никакой защиты для трафика открытого текста; он может быть взломан злоумышленником. Так, например, проверка подлинности с помощью SSL с последующим переходом к протоколу «в открытом доступе» для получения команд, использующих согласованную через SSL проверку подлинности, будет небезопасной.
Клиент и сервер должны иметь поддержку SSL.Если вы ищете решение с пониженным уровнем, при котором некоторые данные обмениваются через SSL, тогда SSL отключается, но трафик приложений продолжается, что тоже возможно, но имейте в виду что он не обеспечивает абсолютно никакой защиты для трафика открытого текста; он может быть взломан злоумышленником. Так, например, проверка подлинности с помощью SSL с последующим переходом к протоколу «в открытом доступе» для получения команд, использующих согласованную через SSL проверку подлинности, будет небезопасной.
Я думаю, что можете.
но это было бы глупо, вы потеряете суть аутентификации и оставите себя уязвимым для злоумышленников, которые могут перехватить и изменить ваши пакеты.
Нет, протокол не позволяет этого.
Одно из решений, которое вы могли бы сделать, - это подключиться по https, проверить подключение, а затем сбросить последующие подключения к HTTP с помощью файла cookie сеанса. Без этого файла cookie выполните перенаправление обратно на https, чтобы клиент всегда подключался по нему.
Это может не иметь отношения к вам, поэтому, если вы предоставите дополнительную информацию о проблеме, которую пытаетесь решить, мы могли бы помочь помощь.
В спецификациях SSL/TLS определен "NULL-шифр", который вы можете использовать для этого. Большинство клиентских и серверных программ отключают его по очевидным причинам.
Однако, если вы пишете собственное программное обеспечение, вы можете убедить свою библиотеку согласовать его.