SSL и сертификаты

Question

1) Насколько я знаю, невозможно установить SSL-соединение, в котором только клиент запрашивает сертификат. Любая идея, почему SSL не позволяет это?

2) Я предполагаю, что соединение SSL может быть сконфигурирован либо:

• требуется только сервер предоставлять сертификат
• требуется для сервера и клиента, чтобы предоставить сертификаты

3) Вероятно, глупый вопрос, но как SSL «знает», какая сторона является клиентом, а какая сторона - сервером?

4) Возможно ли установить SSL-соединение без SSL-запроса каких-либо сертификатов?

спасибо

Answer 1

1. Если сервер не прошел проверку подлинности, вы действительно не можете иметь частный канал — это слишком легко для человека-в-середине, чтобы подслушать, ретрансляция трафика между двумя законными стороны. Если у вас нет конфиденциальности или аутентификации, зачем использовать SSL? Существуют фактически «анонимные» режимы, в которых криптография с открытым ключом используется для согласования ключа шифрования, но ни клиент, ни сервер отсутствуют сертификаты; но я никогда не видел их используемыми, вероятно, потому, что они не могут справиться с атакой подслушивания «человек в середине».

2. Да, сервер предоставляет сертификат. Сервер может запросить сертификат у клиента. Клиент может отвечать сертификатом или игнорировать запрос. Если запрос игнорируется, сервер может продолжить работу с анонимным клиентом или прекратить соединение.

3. Роли клиента и сервера устанавливаются во время установления связи SSL. Первое сообщение называется ClientHello. Стороной, которая отправляет это сообщение, является клиент. Обычно это будет сторона, которая инициировала TCP-соединение, но это не обязательно (фактически, в SSL нет ничего, что требует TCP в качестве транспорта).

4. Да, как я упоминал в № 1, SSL имеет «анонимные» режимы, где ни одна из сторон не может надежно аутентифицировать другую. Это обеспечило бы частный, защищенный от несанкционированного доступа канал между неизвестными сторонами. Однако, поскольку вы не знаете, кто находится на другом конце канала, вы не знаете, что это человек в середине, который выполнил два одновременных рукопожатия и перехватил весь трафик между вами и вечеринку, с которой вы считали, что разговариваете. Чтобы помешать этому, вам нужно будет иметь протокол проверки подлинности поверх SSL, который, чтобы быть в безопасности, неизбежно приведет к тому, что он будет похож на аутентифицированный SSL.

Answer 2

Добрый день,

Вот ответы на вопросы:

1) Насколько я знаю, это не представляется возможным установить соединение SSL, где reuired только клиент для предоставления сертификата. Любая идея, почему SSL не позволяет это?

SSL certificate защитит сайт, расположенный на сервере, и будет обеспечена передача данных между компьютером пользователя и веб-сайтом. Это также зависит от типа сертификата.

2) Я предполагаю, что соединение SSL может быть сконфигурирован либо:

требуется только сервер для предоставления сертификата требуется для сервера и клиента, чтобы предоставить сертификаты

Сервер необходим действительно , Но также клиенту необходимо предоставить CSR, чтобы иметь уникальный сертификат SSL на конкретном веб-сайте.

3) Возможно, это глупый вопрос, но как SSL «знает», какая сторона является клиентом, а какая сторона является сервером?

Проверки клиента и сервера выполняются во время соединения SSL. Когда посетитель сайта предоставляет важную информацию, пока есть сертификат SSL, он защищен, но также зависит от типа установленного сертификата.

4) Возможно ли установить SSL-соединение без SSL-запроса каких-либо сертификатов?

Это зависит от типа сертификата (автогенератора или от центра сертификации). Сертификат SSL уникален и выпущен только для конкретного веб-сайта и согласно CSR, предоставленному клиентом.

С наилучшими пожеланиями,

www.networking4all.fr