7
Có thể gửi tin nhắn qua https không được mã hóa không? Ví dụ, yêu cầu xác thực và ủy quyền chứng chỉ xảy ra, nhưng không mã hóa dữ liệu thực tế được gửi qua socket?Giao thức SSL không được mã hóa?
A
Trả lời
20
Có, TLS và SSL hỗ trợ chế độ "không mã hóa". Cho dù máy khách và máy chủ cụ thể được đề cập được cấu hình để kích hoạt có phải là một vấn đề riêng biệt hay không.
Có thể, mặc dù không chắc, máy chủ có thể bật một trong các bộ mã hóa này theo mặc định. Có nhiều khả năng là một máy chủ sẽ kích hoạt các bộ mã hóa yếu (như các bộ dựa trên DES "xuất") theo mặc định. Đó là lý do tại sao bạn nên xem xét cẩn thận danh sách trắng của bộ mã hóa danh sách trắng của máy chủ và leave only a few trusted, widely-supported algorithms.
Bạn có thể sử dụng bộ mã hóa TLS_RSA_WITH_NULL_SHA để bảo vệ tính xác thực và tính toàn vẹn của lưu lượng truy cập mà không cần mã hóa.
"RSA" trong trường hợp này đề cập đến thuật toán trao đổi khóa, trong khi "SHA" đề cập đến thuật toán xác thực thư được sử dụng để bảo vệ lưu lượng truy cập không bị thay đổi. "NULL" là thuật toán mã hóa, hoặc trong trường hợp này, thiếu mã hóa.
Điều quan trọng là nhận ra rằng lưu lượng truy cập, mặc dù nó không được mã hóa, được nhóm lại trong bản ghi SSL. Máy khách và máy chủ phải được bật SSL.
Nếu bạn đang tìm giải pháp bước xuống nơi một số dữ liệu được trao đổi qua SSL, thì SSL bị tắt nhưng lưu lượng truy cập ứng dụng vẫn tiếp tục, có thể, nhưng hãy nhớ rằng nó hoàn toàn không có bảo mật cho văn bản rõ ràng giao thông; nó có thể bị giả mạo bởi một kẻ tấn công. Vì vậy, ví dụ, xác thực với SSL, sau đó bước xuống một giao thức "trong-the-clear" để nhận các lệnh sử dụng xác thực được thương lượng qua SSL sẽ không an toàn.
+0
Xin chào, tôi có một số câu hỏi về openssl, bạn có muốn xem qua địa chỉ sau không? http://stackoverflow.com/questions/2542156/openssl-ssl-encryption – deddihp
-3
Không, giao thức không cho phép điều đó.
Một giải pháp bạn có thể làm là kết nối qua https, xác minh kết nối, sau đó thả các kết nối tiếp theo vào HTTP bằng cookie phiên. Nếu không có cookie đó, hãy chuyển hướng trở lại https để khách hàng luôn kết nối với nó.
Điều này có thể không liên quan đến bạn, do đó, nếu bạn cung cấp thêm thông tin về sự cố bạn đang cố giải quyết, chúng tôi có thể trợ giúp thêm.
-1
Tôi nghĩ bạn có thể.
nhưng nó sẽ là ngu ngốc, bạn sẽ mất điểm xác thực và để bản thân tiếp xúc với những kẻ tấn công có thể chặn và thay đổi gói của bạn.
+4
Quyền riêng tư và tính toàn vẹn là hai điều khác nhau. Bạn có thể sử dụng TLS mà không có quyền riêng tư; những kẻ tấn công có thể đọc các gói của bạn, nhưng bạn biết nếu họ thay đổi một gói tin. – erickson
+0
@erickson Tôi không biết SSL và đó là con của họ đủ tốt, nhưng tại sao bạn muốn sử dụng băm mật mã trên dữ liệu quá cảnh của mình và không chỉ mã hóa nó? –
+0
Tôi chưa có đơn đăng ký. Tôi đã chỉ ra rằng SSL có thể bảo vệ chống lại sự thay đổi gói tin mà không cung cấp sự riêng tư, và mã hóa đơn giản là không đủ để ngăn chặn sự thay đổi gói tin. – erickson
5
Thông số SSL/TLS xác định "mật mã NULL" mà bạn có thể sử dụng cho điều này. Hầu hết các phần mềm máy khách và máy chủ đều vô hiệu hóa nó vì những lý do rõ ràng.
Tuy nhiên, nếu bạn đang viết phần mềm của riêng mình, bạn có thể thuyết phục thư viện của mình thương lượng.
Các vấn đề liên quan
- 1. Mã hóa nào được giao thức HTTP sử dụng?
- 2. Có thể xác thực qua HTTP qua IIS được mã hóa (không có SSL) không?
- 3. Mã hóa mật khẩu hai chiều không có ssl
- 4. Độ mạnh mã hóa được hỗ trợ có được chỉ định trong chứng chỉ SSL không?
- 5. Mã hóa tay Mã kiểm tra giao diện người dùng được mã hóa
- 6. Bắt Lỗi 107 (net :: ERR_SSL_PROTOCOL_ERROR): Lỗi giao thức SSL
- 7. Mã hóa: mô phỏng SSL trong javascript và python
- 8. SSL một chiều là mã hóa một chiều?
- 9. Giải mã giao thức phản chiếu AirPlay
- 10. Thay thế cho SSL - Mã hóa "thủ công"?
- 11. Cách đọc mã Cảnh báo mã hóa SSL/TLS trong Ephemeral RSA
- 12. Mã hóa SSL 256 bit - trên trang web Azure
- 13. Mã hóa có phát âm được không?
- 14. WCF netTCPBinding - Mã hóa giao thông có đủ không?
- 15. Tên chuỗi giao thức trong mã EADEMo
- 16. Giao thức https không được hỗ trợ hoặc vô hiệu hóa trong libcurl
- 17. Khởi chạy "Trình tạo thử nghiệm giao diện người dùng được mã hóa" mà không cần tạo một thử nghiệm giao diện người dùng mã hóa mới
- 18. SSL cache máy chủ proxy có thể nhận được không? Nếu không, sẽ đáp ứng mã hóa cơ thể đủ?
- 19. Nút js - thường trình SSL: SSL23_GET_SERVER_HELLO: giao thức không xác định: .Error
- 20. Giao thức cho cổng nối tiếp từ xa, với xác thực và mã hóa
- 21. Mã hóa mặc định cho API đọc từ URL sử dụng giao thức: tệp là gì?
- 22. Rails 3.1 ssl được sử dụng ngay cả khi tôi vô hiệu hóa ssl?
- 23. restart/iisreset vô hiệu hóa giao thức NET.TCP?
- 24. Giao thức uwsgi có nhanh hơn giao thức http không?
- 25. Chuỗi mã 64 có được mã hóa không?
- 26. Codeigniter không thể giải mã mật khẩu được mã hóa
- 27. Mã hóa tay Mã hóa giao diện người dùng Thử nghiệm
- 28. giao thức không quốc tịch và giao thức trạng thái
- 29. Mã hóa chính thức được Twitter Streaming API sử dụng? Có phải là UTF-8 không?
- 30. Giao thức ghép nối Google TV - Lỗi bắt tay SSL với Go (golang)
Tôi rất tò mò về cách sử dụng tính năng này? Tại sao không chỉ sử dụng một phương pháp xác thực thay thế? Với tôi nó có vẻ như tất cả những gì bạn muốn, xác thực của một máy chủ .. hợp lệ? * nhún vai * – Jakub
Câu hỏi không có ý nghĩa, vì https là một phiên bản an toàn của http đang chạy khỏi cổng tiêu chuẩn 443. Tiêu chuẩn này quy định rằng tất cả việc ủy quyền và xác thực/cấp phép chứng chỉ áp dụng cho giao thức https này. Và dù sao, mọi thư được gửi qua https đều được mã hóa. Bạn có thể làm rõ những gì bạn đang cố gắng làm không? – t0mm13b
Ah, tôi thực sự không muốn sử dụng điều này. Tôi chỉ muốn chắc chắn rằng nếu tôi sử dụng giao thức https, tôi không phải nói với máy chủ để mã hóa nó.Bằng cách này tôi có thể tin tưởng rằng dữ liệu được mã hóa nếu tôi sử dụng https. – bkritzer