HTTPS-соединение без запроса сертификата

есть Хак или архитектура SSL / TLS позволяет общаться с сервером без запроса его сертификат может быть, предварительно загрузив сертификат и установить его,



причина, по которой я спрашиваю это потому, что в процессе рукопожатия, расширение SNI выставляет сайте я общаюсь с сни отправляет доменное имя в текстовом виде...




Я пробовал использовать более старые версии SSL, где не было SNI, но большинство серверов не поддерживают старую версию SSL...

5
задан Kaleem Ullah
источник

1 ответов

вы спрашиваете о двух разных вещах: утечка имени хоста клиентом, отправляющим SNI, и утечка имени хоста сервером, отправляющим сертификат. Это полностью независимая друг от друга; SNI не принудительно отправляет сертификат, и отключение SNI не предотвратит отправку сертификата.

клиент - > сервер

в процессе рукопожатия, расширение SNI выставляет сайте я общаюсь с

Если вы общаетесь с свой серверы, затем просто не отправляйте расширение SNI. Это необязательно в большинстве клиентских библиотек TLS. (Например, в GnuTLS он не отправляется по умолчанию,если gnutls_server_name_set() был вызван.)

с другой стороны, для случайных веб-сайтов в интернете, это неизбежно.

сервер - > клиент

есть ли Хак или архитектура SSL / TLS позволяет взаимодействовать с сервером без запроса сертификата

TLS поддерживает другие методы аутентификации сервера-TLS-PSK является наиболее распространенной альтернативой (хотя, как правило, он работает только с серверами, которые вы предварительно настроили с общим ключом, а не со случайными веб-сайтами в интернете).

кроме того, сертификат может содержать произвольное имя хоста или имя хоста, и клиент будет проверить его с помощью других методов (по отпечатку пальца или хэш SPKI) - TLS не требует использования имени хоста вообще.

2
отвечен grawity 2018-06-30 13:43:33
источник

Другие вопросы cryptography encryption https ssl tls