HTTPS-зв’язок без запиту довідки


0

Чи є хак або архітектура SSL / TLS дозволяє спілкуватися з Сервером, не вимагаючи його сертифікату, можливо, попередньо завантаживши сертифікат та встановивши його

. Причина, про яку я це запитую, полягає в тому, що під час процесу рукостискання розширення SNI розкриває веб-сайт, з яким я спілкуюся, оскільки SNI надсилає доменне ім'я у простому тексті ...

Я намагався використовувати старіші версії SSL, де не було SNI, але більшість серверів не підтримує старішу версію SSL ...

Відповіді:


2

Ви запитуєте про дві різні речі: протікання імені хоста клієнтом, що надсилає SNI, і течією ім'я хоста від сервера, що надсилає сертифікат. Вони абсолютно незалежні один від одного; SNI не змушує надсилати сертифікат, а відключення SNI не запобігає надсиланню сертифіката.

Клієнт на сервері

під час процесу рукостискання розширення SNI відкриває веб-сайт, з яким я спілкуюся

Якщо ви спілкуєтесь із власними серверами, тоді просто не надсилайте розширення SNI. Він не є обов'язковим у більшості клієнтських бібліотек TLS. (Наприклад, у GnuTLS він не надсилається за замовчуванням, якщо тільки не викликався gnutls_server_name_set ().)

З іншого боку, для випадкових веб-сайтів в Інтернеті це часто неминуче.

Сервер до клієнта

Чи є хак чи архітектура SSL / TLS дозволяє спілкуватися із сервером, не вимагаючи його сертифікату

TLS підтримує інші методи аутентифікації сервера - TLS-PSK є найбільш поширеною альтернативою (хоча, як правило, він працює лише з серверами, які ви попередньо налаштували за допомогою спільного ключа; а не випадковими веб-сайтами в Інтернеті).

Альтернативно, сертифікат може містити випадкове ім'я хоста або взагалі відсутнє ім'я хоста, і клієнт перевірятиме його іншими методами (за відбитками пальців або хеш-пам'яті SPKI) - TLS взагалі не вимагає використання імені хоста.

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.