0

SSL/TLS について次の質問があります。
サーバー ハローの後、サーバーの認証フェーズを開始します。
さまざまな記事や書籍から、このフェーズはオプションのようです。例えばウィキで

サーバーはその証明書メッセージを送信します (選択した暗号スイートによっては、これがサーバーによって省略される場合があります)。

しかし、暗号化スイートに依存すると言う意味がわかりません。
したがって、私の理解は aServerKeyExchangeまたは a Certificatefollow aのいずれかServerHelloです。
私の質問は、サーバー認証をまとめて省略できますか?
たとえば、Tomcat でクライアント認証を省略するには、コネクタを構成して要求しないようにするだけです。
サーバー認証をどのように省略できますか? サポートされている場合、使用するJavaフレームワークに依存しますか?
また、サーバー認証を省略するとはどういう意味ですか? 証明書が送信されない場合、ServerKeyExchange必須になりますか、または通常、フレームワークは、パフォーマンスのためにパス認証フェーズを使用したい場合、または意味がないために、代わりにローカル公開鍵のプロビジョニングを許可しますか?
それとも、ウィキが暗示しているように、これはどういうわけか暗号化スイートに依存していますか?
注:
サーバーは常に認証する必要があることを理解しています。私の問題のコンテキストは、クライアントアプリとサーバーが同じマシン(および私が推測するJavaランタイム)で実行されているため、サーバー認証をバイパスしても安全であると見なすことができます(私は思います)。

どんな入力でも大歓迎です!
ありがとう!

4

3 に答える 3

1

TLS/SSL では、サーバー認証はオプションです。認証なしの TLS/SSL 暗号スイート ( TLS 仕様で (認証TLS_NULL_WITH_NULL_NULLと暗号化をオフにする) またはTLS_DH_anon_XXXX(暗号化のみを使用する) など) を選択した場合、サーバー証明書は送信されません。

認証なしの TLS/SSL は、純粋な Java コネクタでサポートされていないようです。しかし、native-connector with はそれをサポートしていると思いますSSLCipherSuite=aNULL

認証を無効にしても安全かどうかはわかりません。つまり、DNS スプーフィングなどの攻撃が脅威になる可能性があります。パフォーマンスに問題がなければ、サーバー認証を使用した方がよいと思います。または、TLS/SSL 自体をオフにすることも選択肢の 1 つかもしれません。(コンピューターの管理者が証明書ファイルを盗んで JVM ヒープをダンプできるため、サーバーとクライアントの通信を暗号化しても意味がない場合があります。)

于 2011-01-16T14:18:08.277 に答える
1

認証と暗号化は、データが信頼されていないネットワークを通過する場合、またはエンドポイントの 1 つが信頼されていない場合に重要です。アプリケーションが localhost でのみ接続を確立する場合、認証と暗号化は重要ではありません (データとアプリケーションが locahost にあるという事実は、localhost を信頼していることを意味します)。

于 2011-01-16T14:38:14.043 に答える
0

tomcat 6 の ssl 構成を以下から取得できます。

http://nayanmali.blogspot.com/

全体の構成と、keytool の作成方法と証明書フォームの生成方法を取得しました。

于 2011-01-20T09:20:02.977 に答える