是否可以通过未加密的 https 发送消息?例如,要求进行证书验证和授权,但不加密通过套接字发送的实际数据?
是的,TLS 和 SSL 支持“无加密”模式。所讨论的特定客户端和服务器是否配置为启用是一个单独的问题。
服务器有可能默认启用这些密码套件之一,尽管可能性不大。更有可能的是,服务器默认启用弱密码套件(例如“导出”级基于 DES 的套件)。这就是为什么您应该仔细检查服务器的密码套件白名单,并且只留下一些值得信赖、广泛支持的算法。
您可以使用 TLS_RSA_WITH_NULL_SHA 密码套件等来保护流量的真实性和完整性,而无需加密。
在这种情况下,“RSA”指的是密钥交换算法,而“SHA”指的是用于保护流量不被更改的消息认证算法。 “NULL”是加密算法,或者在本例中是缺乏加密。
重要的是要认识到流量虽然没有加密,但却捆绑在 SSL 记录中。客户端和服务器必须启用 SSL。
如果您正在寻找一种降级解决方案,其中一些数据通过 SSL 进行交换,那么 SSL 将被关闭,但应用程序流量仍在继续,这也是可能的,但请记住,它绝对不为明文流量提供任何安全性;它可以被攻击者篡改。因此,例如,使用 SSL 进行身份验证,然后降级到“明文”协议来接收使用通过 SSL 协商的身份验证的命令,这是不安全的。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)