HTTPS-связь без запроса сертификата

348
Kaleem Ullah

Есть ли взлом или архитектура SSL / TLS позволяет осуществлять связь с сервером без запроса его сертификата, возможно, предварительно загрузив сертификат и установив его

. Причина, по которой я спрашиваю это, заключается в том, что во время процесса рукопожатия расширение SNI предоставляет веб-сайт, с которым я общаюсь, поскольку SNI отправляет доменное имя в виде обычного текста ...

Я пытался использовать более старые версии SSL, где не было SNI, но большинство серверов не поддерживают более старую версию SSL ...

0

1 ответ на вопрос

2
grawity

Вы спрашиваете о двух разных вещах: утечка имени хоста клиентом, отправляющим SNI, и утечка имени хоста сервером, отправляющим сертификат. Они полностью независимы друг от друга; SNI не заставляет отправлять сертификат, и отключение SNI не будет препятствовать отправке сертификата.

Клиент на сервер

во время процесса установления связи расширение SNI открывает веб-сайт, с которым я общаюсь

Если вы общаетесь со своими серверами, просто не отправляйте расширение SNI. Это необязательно в большинстве клиентских библиотек TLS. (Например, в GnuTLS он не отправляется по умолчанию, если не был вызван gnutls_server_name_set ().)

С другой стороны, для случайных сайтов в Интернете это часто неизбежно.

Сервер клиенту

Есть ли взлом или архитектура SSL / TLS позволяет общаться с сервером, не запрашивая его сертификат

TLS поддерживает другие методы проверки подлинности сервера - TLS-PSK является наиболее распространенной альтернативой (хотя обычно он работает только с серверами, которые предварительно настроены с помощью общего ключа, а не случайными веб-сайтами в Интернете).

В качестве альтернативы, сертификат может содержать случайное имя хоста или вообще не содержать имя хоста, и клиент может проверить его, используя другие методы (по отпечатку пальца или хешу SPKI) - TLS вообще не требует использования имени хоста.

Похожие вопросы