Чи є хак або архітектура SSL / TLS дозволяє спілкуватися з Сервером, не вимагаючи його сертифікату, можливо, попередньо завантаживши сертифікат та встановивши його
. Причина, про яку я це запитую, полягає в тому, що під час процесу рукостискання розширення SNI розкриває веб-сайт, з яким я спілкуюся, оскільки SNI надсилає доменне ім'я у простому тексті ...
Я намагався використовувати старіші версії SSL, де не було SNI, але більшість серверів не підтримує старішу версію SSL ...
Відповіді:
Ви запитуєте про дві різні речі: протікання імені хоста клієнтом, що надсилає SNI, і течією ім'я хоста від сервера, що надсилає сертифікат. Вони абсолютно незалежні один від одного; SNI не змушує надсилати сертифікат, а відключення SNI не запобігає надсиланню сертифіката.
під час процесу рукостискання розширення SNI відкриває веб-сайт, з яким я спілкуюся
Якщо ви спілкуєтесь із власними серверами, тоді просто не надсилайте розширення SNI. Він не є обов'язковим у більшості клієнтських бібліотек TLS. (Наприклад, у GnuTLS він не надсилається за замовчуванням, якщо тільки не викликався gnutls_server_name_set ().)
З іншого боку, для випадкових веб-сайтів в Інтернеті це часто неминуче.
Чи є хак чи архітектура SSL / TLS дозволяє спілкуватися із сервером, не вимагаючи його сертифікату
TLS підтримує інші методи аутентифікації сервера - TLS-PSK є найбільш поширеною альтернативою (хоча, як правило, він працює лише з серверами, які ви попередньо налаштували за допомогою спільного ключа; а не випадковими веб-сайтами в Інтернеті).
Альтернативно, сертифікат може містити випадкове ім'я хоста або взагалі відсутнє ім'я хоста, і клієнт перевірятиме його іншими методами (за відбитками пальців або хеш-пам'яті SPKI) - TLS взагалі не вимагає використання імені хоста.