Ostatnio nasz zespół ds. Infrastruktury powiedział naszemu zespołowi programistów, że nie potrzebujesz certyfikatu dla protokołu https. Wspomnieli, że jedyną korzyścią z zakupu certyfikatu było zapewnienie konsumentom spokoju, że łączą się z odpowiednią witryną.
Jest to sprzeczne ze wszystkim, co zakładałem o https.
Czytam wikipedię i wspomina, że do skonfigurowania https potrzebujesz certyfikatu zaufanego lub certyfikatu z podpisem własnym.
Czy można skonfigurować usługi IIS, aby odpowiadały na https bez żadnego certyfikatu?
Odpowiedzi:
Nie. Musisz mieć certyfikat. Może być samopodpisany, ale musi istnieć para kluczy publiczny / prywatny, aby wymienić klucz symetryczny sesji między serwerem a klientem w celu szyfrowania danych.
źródło
Krótko mówiąc, nie, ale mogą występować subtelne przypadki w zależności od tego, jak chcesz wdrożyć system.
HTTPS to HTTP przez SSL / TLS i możesz używać SSL / TLS bez certyfikatu lub z certyfikatami innego typu niż X.509 .
Ściśle mówiąc, specyfikacja HTTP przez TLS mówi:
Krótko mówiąc, jest wyraźnie przeznaczony do użytku z certyfikatem X.509 (wyraźnie odnosi się do RFC 2459, później zastąpiony przez RFC 3280 i 5280: PKI z certyfikatami X.509).
W przypadku pakietów szyfrów Kerberos może wystąpić przypadek na krawędzi. Rozsądne może być traktowanie biletu usługi Kerberos na serwerze, który może mieć taki sam cel jak certyfikat X.509 w zwykłym HTTPS, do weryfikacji tożsamości strony zdalnej. Nie jest to w pełni zgodne z zasadami RFC 2818 (chociaż może być objęte zakresem „ Jeśli klient ma zewnętrzne informacje dotyczące oczekiwanej tożsamości serwera, sprawdzanie nazwy hosta MOŻE zostać pominięte ”), ale nie byłoby całkowicie absurdalny. To powiedziawszy, nie sądzę, że zwykłe przeglądarki ogólnie obsługują zestawy szyfrów TLS Kerberos (pewna liczba może obsługiwać Kerberos poprzez uwierzytelnianie SPNEGO, ale to nie jest powiązane). Ponadto działałoby to tylko w środowisku, w którym odpowiednie jest używanie Kerberos.
„ Zapewnienie konsumentom spokoju ducha, że łączą się z właściwą witryną ” jest w rzeczywistości jednym z kluczowych wymagań w celu zabezpieczenia komunikacji między nimi a serwerem. Używaj certyfikatu, który mogą zweryfikować, z odpowiednimi konwencjami nazewnictwa (RFC 2818 lub nowszy RFC 6125).
źródło
Nie możesz używać protokołu https bez żadnego certyfikatu. Musisz kupić zaufany certyfikat lub utworzyć samopodpisany certyfikat do testowania. Częścią konfigurowania serwera WWW do korzystania z protokołu https jest wskazanie poprawnych plików kluczy. Oczywiście dotyczy to wszystkich serwerów sieciowych, nie tylko iis.
źródło
openssl ciphers
i wyszukajADH
protokół podobny do tegoADH-AES256-SHA
- jeśli taki protokół jest obecny, możesz technicznie skonfigurować połączenie bez żadnych certyfikatów.