bkr*_*zer 7 encryption ssl https certificate pki
是否可以通过https发送未加密的消息?例如,要求进行证书验证和授权,但不加密通过套接字发送的实际数据?
eri*_*son 20
是的,TLS和SSL支持"无加密"模式.是否将特定客户端和服务器配置为启用是一个单独的问题.
虽然不太可能,但服务器可以默认启用其中一个密码套件.更有可能的是,服务器默认启用弱密码套件(如"导出"级的基于DES的套件).这就是为什么你应该仔细检查服务器的密码套件白名单,并只留下一些值得信赖的,广泛支持的算法.
您可以使用TLS_RSA_WITH_NULL_SHA密码套件来保护流量的真实性和完整性,而无需加密.
在这种情况下,"RSA"指的是密钥交换算法,而"SHA"指的是用于保护流量不被改变的消息认证算法."NULL"是加密算法,或者,在这种情况下,缺少加密.
重要的是要意识到流量虽然没有加密,但却捆绑在SSL记录中.客户端和服务器必须启用SSL.
如果您正在寻找一种通过SSL交换某些数据的降压解决方案,那么SSL将被关闭,但应用程序流量仍在继续,这也是可能的,但请记住,它绝对没有为明文流量提供安全保障; 它可以被攻击者篡改.因此,例如,使用SSL进行身份验证,然后单步执行"清除"协议以接收使用通过SSL协商的身份验证的命令将是不安全的.
| 归档时间: |
|
| 查看次数: |
7143 次 |
| 最近记录: |