HTTPS Web ページに接続してコンテンツをダウンロードする古いデバイスがあります。そのデバイスで、自分が管理するドメインからコンテンツをダウンロードしたいのですが、クライアントには特定のルート CA が組み込まれており、SSL 接続でこの CA の証明書が使用される場合にのみ接続されます。
クライアントのソフトウェアを変更し、https URL を HTTP URL に置き換えて、接続からすべての HTTPS 要素を削除することで、この問題を修正できます。
しかし、私はクライアントを変更せずに(DNS 編集のみ)これを機能させる方法を探しており、現在は「SSL null 暗号」から読みました。
SSL 暗号の 1 つを認証なしで使用できますか (たとえば、このデバイスに偽の接続を受け入れさせる可能性がありますTLS_NULL_WITH_NULL_NULLかTLS_DH_anon_WITH_AES_256_CBC_SHA? おそらく、これらの偽の暗号は受け入れられます...
しかし、Web サーバーで実際にこれらの暗号を使用するにはどうすればよいのか、私にはわかりません (インターネット上でもあまり情報を見つけられませんでした)。
現在、Apache を使用しており、これらの暗号を設定しようとしましたが、うまくいきませんでした。ドキュメントには、null 暗号は安全ではないため削除されたと記載されています。ただし、安全ではないことはわかっているので、とにかく使用したいと思います...
そのクライアントと null 暗号をネゴシエートし、有効な証明書がなくても自分のサーバーに接続できるようにするために使用できる別の Web サーバーはありますか?
理論的には、デバイスがこれらの暗号を受け入れる場合、これらの暗号はサーバーを認証しないため、偽のサーバーでも機能するはずです。
答え1
特定のルート証明書を強制する、つまり適切な証明書検証を強制しようとするデバイスが、認証なしでハンドシェイクを受け入れるように説得されることはほとんどありません。通常、匿名認証による暗号はクライアント側で有効になっていません。
それとは別に、NULL 暗号は暗号化のない暗号ですが、認証が必要になる場合があります (TLS_RSA_WITH_NULL_SHA など)。求めているのは、認証なしでも暗号化を行う可能性がある暗号です (TLS_DH_anon_WITH_AES_128_CBC_SHA など)。