Chúng tôi đang tìm một giải pháp cho phép chúng tôi sử dụng HTTPS mà không cần mã hóa. Tại sao? Đây là câu chuyện:Sử dụng HTTPS trong Java mà không cần mã hóa
Sản phẩm của chúng tôi (được cài đặt tại khách hàng) kết nối với máy chủ của chúng tôi để tìm thông tin cập nhật, đăng thông tin, v.v. Chúng tôi muốn sản phẩm xác minh rằng nó được kết nối với máy chủ (và không phải là kẻ mạo danh) trước khi đăng dữ liệu. Chúng tôi cũng cần đảm bảo không có các cuộc tấn công trung gian (tức là nội dung phải được ký kết, v.v.). Tuy nhiên, khách hàng của chúng tôi yêu cầu họ có thể đánh hơi lưu lượng truy cập (Wireshark, tcpdump, v.v.) và xem toàn bộ nội dung của giao dịch. Điều này là vì lý do tuân thủ và bảo mật.
Sản phẩm của chúng tôi được viết bằng Java, nhân tiện.
Bất kỳ ý tưởng nào?
CẬP NHẬT: Vui lòng giải thích nếu tôi không sử dụng đúng biểu mẫu để trả lời câu trả lời, tôi khá mới trên trang web này.
Trước hết, cảm ơn bạn đã có câu trả lời nhanh chóng!
Lý do của chúng tôi để điều tra khả năng HTTPS là vì chúng tôi không muốn phát minh ra giao thức mới tại đây. Nó không chỉ là số lượng công việc mà còn là một thực tế rằng phát minh ra giao thức bảo mật của riêng bạn (ngay cả khi chỉ để ký) thường được coi là thực hành xấu. Chúng tôi đang cố gắng đạt được lợi thế của HTTPS trong việc xác thực máy chủ (điều quan trọng, máy chủ này cũng phục vụ mã thực thi có thể khá lớn - chúng tôi không muốn bất kỳ ai phân phối phần mềm độc hại hoặc DoSing khách hàng của chúng tôi với dữ liệu lớn chỉ sau khi nhận được toàn bộ điều sẽ hệ thống phát hiện ra nó là xấu) cũng như đảm bảo MITM không xảy ra (việc ký các bản thân các thông điệp). Chúng tôi không quan tâm nếu có ai evesdropes trên giao thông bởi vì nó không bao giờ chứa một cái gì đó được coi là bí mật. Hơn nữa, nó không nhất thiết cần phải dễ dàng để đọc các nội dung trong Wireshark, chỉ có thể để kiểm toán viên có thể làm điều đó.
@Nate Zaugg - không, đây không phải là trò đùa. Thật đáng ngạc nhiên khi các nhà cung cấp sử dụng HTTPS với mã hóa ngày hôm nay và không nhận được nhiều phản ứng dữ dội từ khách hàng với các vấn đề tuân thủ nghiêm ngặt.
@erickson - Giải pháp đầu tiên với bộ mã hóa NULL có vẻ thú vị, chúng tôi sẽ xem xét nó. Giải pháp thứ hai sẽ yêu cầu một bộ khóa cho mỗi khách hàng - không phải thứ chúng tôi muốn quản lý.
@ZZ Coder - ý bạn là với mật mã null, bạn sẽ không thể xem nội dung trong Wireshark?
Đề xuất sửa lại câu hỏi, "Hiển thị lưu lượng truy cập HTTPS để đánh hơi/kiểm tra bảo mật". – Freiheit