У меня есть следующий вопрос о SSL/TLS.
После приветствия сервера начинается фаза аутентификации сервера.
Из различных статей/книг представляется, что эта фаза не является обязательной. Например. в викиКонфигурация безопасности java для ssl
Сервер отправляет свой сертификат сообщения (в зависимости от выбранного шифра, это может быть опущены сервера).
Но я не понимаю, что значит сказать, что это зависит от комплекта шифрования.
Так что я понимаю, либо ServerKeyExchange
, либо Certificate
следует за ServerHello
.
Итак, мой вопрос в том, может ли аутентификация сервера быть опущена вместе?
Например, чтобы опустить попытку клиента в Tomcat, вы просто настраиваете соединитель, чтобы не запрашивать его.
Как можно пропустить аутентификацию сервера? Это зависит от используемой java-структуры, если она ее поддерживает?
И что означает опустить аутентификацию сервера? Если сертификат не отправляется, то ServerKeyExchange
становится обязательным, или, как правило, каркасы разрешают предоставление локального открытого ключа вместо того, если вы хотите выполнить фазу аутентификации по протоколу передачи для выполнения или потому, что это не имеет никакого смысла?
Или это зависит от комплекта шифрования как-то, как предполагает wiki?
ПРИМЕЧАНИЕ:
Я понимаю, что сервер всегда должен быть аутентифицирован. Контекст моей проблемы - это клиентское приложение и сервер, работающие на одном компьютере (и, как мне кажется, Java-среда выполнения), поэтому можно считать безопасным обходить аутентификацию сервера (я думаю).
Любой вход очень приветствуется!
Спасибо!
@habe: Спасибо за ответ. Таким образом, неидентификация возможна только в том случае, если клиент поддерживает анонимный DH? Если это не обязательно? Это значение в цитате из викии? Также, когда вы упоминаете родной коннектор, какой класс вы повторяете? – Cratylus
@ user384706: Поддержка DH-anon предназначена для TLS без регистрации. Это не обязательно в спецификации. (см. § 9 RFC 2246). Поскольку «в зависимости от выбранного набора шифров» в Википедии, он должен быть таким же, как и я. А native-connector находится в http://tomcat.apache.org/native-doc/. – habe
@habe: Последний вопрос: как вы думаете, что подмены спутников dns может быть угрозой, даже если клиент и сервер находятся на одной машине? – Cratylus