Ich habe ein altes Gerät, das eine Verbindung zu einer HTTPS-Webseite herstellt und Inhalte herunterlädt. Ich möchte, dass das Gerät Inhalte von einer von mir kontrollierten Domäne herunterlädt, aber der Client hat eine bestimmte Stammzertifizierungsstelle eingebettet und stellt nur dann eine Verbindung her, wenn die SSL-Verbindung ein Zertifikat dieser Zertifizierungsstelle verwendet.
Ich kann das sicherlich beheben, indem ich die Software auf dem Client ändere und die https-URL durch eine HTTP-URL ersetze und so den ganzen HTTPS-Kram aus der Verbindung entferne.
Ich suche jedoch nach einer Möglichkeit, dies ohne Änderung des Clients (nur DNS-Änderungen) zum Laufen zu bringen, und jetzt habe ich aus den „SSL-Null-Chiffren“ gelesen.
Könnte die Verwendung einer der SSL-Chiffren ohne Authentifizierung (zum Beispiel) dieses Gerät TLS_NULL_WITH_NULL_NULLmöglicherweise TLS_DH_anon_WITH_AES_256_CBC_SHAdazu bringen, meine gefälschte Verbindung zu akzeptieren? Vielleicht akzeptiert es diese gefälschten Chiffren …
Aber ich habe keine Ahnung (und habe im Internet nicht viele Informationen gefunden), wie ich meinen Webserver dazu bringen kann, diese Chiffren tatsächlich zu verwenden.
Ich verwende derzeit Apache und habe versucht, diese Chiffren zu konfigurieren, aber es hat nicht funktioniert und in der Dokumentation steht, dass die Null-Chiffren entfernt wurden, weil sie unsicher sind. Ich weiß jedoch, dass sie unsicher sind und möchte sie trotzdem verwenden ...
Gibt es einen anderen Webserver, den ich verwenden könnte, um mit diesem Client eine Null-Verschlüsselung auszuhandeln und ihn hoffentlich dazu zu bringen, eine Verbindung zu meinem Server herzustellen, obwohl er kein gültiges Zertifikat hat?
Wenn das Gerät diese Chiffren akzeptiert, sollte es theoretisch mit dem gefälschten Server funktionieren, da diese Chiffren den Server nicht authentifizieren, oder?
Antwort1
Es ist unwahrscheinlich, dass ein Gerät, das ein bestimmtes Stammzertifikat erzwingt, also versucht, eine ordnungsgemäße Zertifikatsüberprüfung zu erzwingen, davon überzeugt werden kann, einen Handshake ohne jegliche Authentifizierung zu akzeptieren. Normalerweise sind die Chiffren mit anonymer Authentifizierung auf der Clientseite nicht aktiviert.
Abgesehen davon: Eine NULL-Chiffre ist eine Chiffre ohne Verschlüsselung, die möglicherweise noch eine Authentifizierung erfordert (wie bei TLS_RSA_WITH_NULL_SHA). Was Sie suchen, sind Chiffren ohne Authentifizierung, die möglicherweise noch eine Verschlüsselung durchführen (wie TLS_DH_anon_WITH_AES_128_CBC_SHA).