1)据我所知,无法 Build 只连接客户端以提供证书的SSL连接 . 知道为什么SSL不允许这个吗?
2)我假设SSL连接可以配置为:
仅要求服务器提供证书
要求服务器和客户端都提供其证书
3)可能是一个愚蠢的问题,但SSL如何“知道”哪一方是客户端,哪一方是服务器?
4)是否可以在没有SSL请求任何证书的情况下 Build SSL连接?
谢谢
如果服务器未经过身份验证,您实际上无法拥有私有通道 - 中间人太容易被窃听,在两个合法方之间转发流量 . 如果您没有隐私或身份验证,为什么要使用SSL?实际上存在“匿名”模式,其中公钥加密用于同意加密密钥,但客户端或服务器都不提供证书;但是,我从未见过它们,可能是因为它们无法解决中间人的窃听攻击 .
是的,服务器提供证书 . 服务器可以从客户端请求证书 . 客户端可以使用证书进行响应,或忽略该请求 . 如果忽略该请求,则服务器可以选择继续匿名客户端,或终止连接 .
客户端和服务器的角色是在SSL握手期间 Build 的 . 第一条消息称为 ClientHello . 发送此消息的一方是客户端 . 通常,这将是启动TCP连接的一方,但它在SSL中不需要TCP作为传输 .
ClientHello
是的,正如我在#1中所提到的,SSL具有“匿名”模式,其中任何一方都无法安全地验证另一方 . 这将为未知方提供一个私密的防篡改通道 . 但是,由于你不知道 Channels 的另一端是谁,你不知道这是一个中间人,谁同时进行了两次握手,并且正在拦截你和你之间的所有交通 . 你认为你正在与之交谈的派对 . 为了阻止这种情况,你必须在SSL之上拥有一个身份验证协议,为了安全起见,它将不可避免地看起来像经过身份验证的SSL .
美好的一天,
以下是对您问题的回答:
1) As far as I know, it is not possible to establish a SSL connection where only the client is reuired to provide a certificate. Any idea why SSL doesn't allow this?
SSL certificate将保护位于服务器上的网站,并且将保护用户的计算机和网站之间的数据传输 . 它还取决于证书的类型 .
2) I assume SSL connection can be configured to either:
仅要求服务器为服务器和客户端提供证书要求以提供其证书
服务器确实是必要的 . 但客户也需要提供CSR才能获得特定网站的唯一SSL证书 .
3) Probably a stupid question, but how does SSL "know" which side is a client and which side is a server?
客户端和服务器的验证在SSL连接期间完成 . 当网站的访问者提供重要信息时,只要有SSL证书,它就是安全的,但它也取决于安装的证书的类型 .
4) Is it possible to establish a SSL connection without SSL requesting any certificates?
它取决于证书的类型(自动生成或来自证书颁发机构) . SSL证书是唯一的,仅针对特定网站并根据客户提供的CSR发布 .
最好的祝福,
www.networking4all.fr
2 回答
如果服务器未经过身份验证,您实际上无法拥有私有通道 - 中间人太容易被窃听,在两个合法方之间转发流量 . 如果您没有隐私或身份验证,为什么要使用SSL?实际上存在“匿名”模式,其中公钥加密用于同意加密密钥,但客户端或服务器都不提供证书;但是,我从未见过它们,可能是因为它们无法解决中间人的窃听攻击 .
是的,服务器提供证书 . 服务器可以从客户端请求证书 . 客户端可以使用证书进行响应,或忽略该请求 . 如果忽略该请求,则服务器可以选择继续匿名客户端,或终止连接 .
客户端和服务器的角色是在SSL握手期间 Build 的 . 第一条消息称为
ClientHello. 发送此消息的一方是客户端 . 通常,这将是启动TCP连接的一方,但它在SSL中不需要TCP作为传输 .是的,正如我在#1中所提到的,SSL具有“匿名”模式,其中任何一方都无法安全地验证另一方 . 这将为未知方提供一个私密的防篡改通道 . 但是,由于你不知道 Channels 的另一端是谁,你不知道这是一个中间人,谁同时进行了两次握手,并且正在拦截你和你之间的所有交通 . 你认为你正在与之交谈的派对 . 为了阻止这种情况,你必须在SSL之上拥有一个身份验证协议,为了安全起见,它将不可避免地看起来像经过身份验证的SSL .
美好的一天,
以下是对您问题的回答:
1) As far as I know, it is not possible to establish a SSL connection where only the client is reuired to provide a certificate. Any idea why SSL doesn't allow this?
SSL certificate将保护位于服务器上的网站,并且将保护用户的计算机和网站之间的数据传输 . 它还取决于证书的类型 .
2) I assume SSL connection can be configured to either:
仅要求服务器为服务器和客户端提供证书要求以提供其证书
服务器确实是必要的 . 但客户也需要提供CSR才能获得特定网站的唯一SSL证书 .
3) Probably a stupid question, but how does SSL "know" which side is a client and which side is a server?
客户端和服务器的验证在SSL连接期间完成 . 当网站的访问者提供重要信息时,只要有SSL证书,它就是安全的,但它也取决于安装的证书的类型 .
4) Is it possible to establish a SSL connection without SSL requesting any certificates?
它取决于证书的类型(自动生成或来自证书颁发机构) . SSL证书是唯一的,仅针对特定网站并根据客户提供的CSR发布 .
最好的祝福,
www.networking4all.fr