暗号化されていないSSLプロトコル?
-
20-09-2019 - |
質問
それは暗号化されていないHTTPS経由でメッセージを送信することは可能ですか?たとえば、証明書の検証と認証が発生することを必要とするが、ソケットを介して送信される実際のデータを暗号化していない?
解決
はい、TLSおよびSSLのサポート「無暗号化」モード。問題の特定のクライアントおよびサーバができるように構成されているかどうかは別の問題である。
これは、サーバーは、デフォルトでこれらの暗号スイートの1できる可能性があること、そうけれども、可能です。何より可能性が高いことは、サーバーがデフォルトで(DESベースのスイートグレードの「輸出」のように)弱い暗号スイートを有効にするだろうということです。あなたは慎重に暗号スイートのサーバーのホワイトリストを確認する必要があります、とののみ少数の信頼できる、広くサポートされているアルゴリズムを残す理由です。に
あなたは暗号化されず、トラフィックの真正性と完全性を保護するために、とりわけ、TLS_RSA_WITH_NULL_SHA暗号スイートを使用することができます。
「SHA」が変更されることからトラフィックを保護するために使用されるメッセージ認証アルゴリズムを指すここでは「RSA」は、鍵交換アルゴリズムを指します。 「NULLは、」暗号化アルゴリズム、または、この場合には、暗号化の欠如である。
それは、暗号化されていないのですけれどもトラフィックは、SSLレコードにまでバンドルされていることを認識することが重要です。クライアントとサーバーは、SSLを有効にする必要があります。
あなたは、降圧ソリューションを探しているなら、いくつかのデータはSSL上で交換された場合、その後、SSLがオフになっているが、アプリケーショントラフィックが続く、それはあまりにも可能だが、それは絶対にクリアテキストトラフィックのためのセキュリティを提供しないことに注意してください;それは、攻撃者によって改ざんすることができます。したがって、たとえば、SSLを使用して認証し、SSL経由で交渉認証が安全ではないだろう使用するコマンドを受け取るために、「イン・ザ・クリア」プロトコルに辞任ます。
他のヒント
SSL / TLSの仕様は、あなたがこのために使用することができ、「NULL暗号」を定義します。ほとんどのクライアントおよびサーバ・ソフトウェアは、明白な理由のためにそれを無効にします。
あなたがあなた自身のソフトウェアを作成している場合は、しかし、あなたはそれを交渉するためにあなたのライブラリーを納得させることができるかもしれません。
私はあなたのことができると思います。
が、それは愚かなことでしょう、あなたは認証のポイントを失う、と自分が傍受し、あなたのパケットを変更することができ、攻撃者にさらされたままになります。
いいえ、プロトコルはそのために許可されていません。
あなたができる一つの解決策は、セッションクッキーとHTTPへの後続の接続をドロップし、接続を確認し、HTTPS経由で接続してあります。クライアントは常にその上に接続されているように、そのクッキーがなければ、戻ってHTTPSにリダイレクトします。
あなたは私たちがより多くの助けになることができ解決しようとしている問題に関する詳細情報を提供するので、もしこれは、しかし、あなたに関係ないかもしれません。