هي شهادات رقمية صالحة المطلوبة على العملاء (جافا، C ++ ... الخ) لجعل الشبكي ناجحة اتصالات؟
https://stackoverflow.com/questions/1001078
-
05-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russianسؤال
وأنا على التخطيط لتنفيذ برنامج مستقل صغير من شأنها أن تقدم طلبا https للملقم. لا تتطلب شهادة SSL صالحة في العميل؟ كيف يعمل مصافحة SSL في هذه الحالة؟ هل هناك أي قضايا أمنية في عميل يكن لديك شهادة SSL؟
المحلول
وبصرف النظر عن تشفير حركة مرور الشبكة، يتم استخدام HTTPS عادة لمصادقة الخادم. هذا هو، لإعطاء العملاء معلومات مطمئنة حول من يملك الخادم، وما لهذا للعمل، يحتاج العميل لتفقد سلسلة الثقة في شهادة نشرت من قبل الملقم. ولكي يحدث ذلك تلقائيا، يجب أن يكون جهاز العميل شهادة مثبتة يصف المرجع المصدق الذي أصدر شهادة الخادم. عادة يتم العثور على مثل هذه الشهادات على الجهاز الخاص بك في متجر يسمى "شهادة الجذر الموثوق بها السلطات" ومعظم OS تأتي مع مجموعة من الاكاديمية المشترك المثبتة مسبقا.
وبالإضافة إلى ذلك، تقدم العديد من خوادم الشبكة ميزة حيث يمكن للعميل مصادقة نفسه إلى الخادم عن طريق توفير شهادة عميل. خادم الويب قادرة على تفقد شهادة القادمة من العميل وخريطة وضعها مجموعة من الأذونات على الخادم. هذا "مصادقة العميل" ليست ضرورية لجلسة HTTPS العمل ومع ذلك، فإنه مجرد خيار.
وباختصار، لم يكن في الواقع <م> الحاجة أي شهادة على العميل، ولكن هل من المحتمل تريد لديك شهادة CA الجذر من أجل التحقق من صحة هوية الخادم . إذا لم يكن لديك تلك الشهادة سيكون من المستحيل بالنسبة لك أن تثق الخادم (إلا إذا كان لديك سبب وجيه آخر للقيام بذلك)، ولكن قد تختار لتبادل البيانات مع ذلك على أي حال.
نصائح أخرى
إذا كنت ترغب في معرفة المزيد عن مصافحة HTTPS وما يتم التفاوض، أوصي تماما نظرتم الى هذا ممتاز الكتابة حتى في moserware
http://www.moserware.com /2009/06/first-few-milliseconds-of-https.html
ومطلوب شهادة العميل إلا إذا كان الخادم يتطلب واحد. شهادة عميل يسمح الخادم لمصادقة العميل، ولكن هذا أمر مفيد فقط إذا كان الملقم لديه قائمة من جميع العملاء المعتمدين لديها. هذا عموما ليس هو الحال مع خادم الويب، لذلك فمن النادر جدا بالنسبة لهم لطلب شهادات العميل.
عند الوقت الحاضر، وشهادة العميل لا يؤثر إنشاء قناة آمنة. (مطلوب شهادة الخادم فقط لأنه وإضافة شهادة عميل في مزيج لا يغير هذه العملية.) وبمجرد إنشاء قناة آمنة، سوف تستخدم خادم شهادة العميل لمصادقة العميل (عادة بمقارنة الجمهور العميل مفتاح أو الاسم مع قائمة العملاء المصرح لهم).
وأنت لا تحتاج إلى شهادة لإجراء اتصال HTTPS، ولكنك تحتاج إلى إذا كنت تريد أن تعرف الذين كنت على اتصال.
