Tengo un dispositivo antiguo que se conecta a una página web HTTPS y descarga contenido. Quiero que ese dispositivo descargue contenido de un dominio que controlo, pero el cliente tiene una CA raíz específica incorporada y solo se conecta si la conexión SSL utiliza un certificado de esta CA.
Ciertamente puedo solucionar este problema modificando el software del cliente y reemplazando la URL https por una HTTP, eliminando todo el contenido HTTPS de la conexión.
Sin embargo, estoy buscando una manera de hacer que eso funcione sin modificar el cliente (solo ediciones de DNS) y ahora he leído los "cifrados nulos SSL".
¿Podría usar uno de los cifrados SSL sin autenticación (por ejemplo, TLS_NULL_WITH_NULL_NULLo TLS_DH_anon_WITH_AES_256_CBC_SHAposiblemente hacer que este dispositivo acepte mi conexión falsa? Tal vez acepte estos cifrados falsos...
Pero no tengo idea (y no he encontrado mucha información en Internet) de cómo puedo hacer que mi servidor web utilice estos cifrados.
Actualmente estoy usando Apache e intenté configurar estos cifrados, pero no funcionó y la documentación indica que los cifrados nulos se eliminaron porque son inseguros. Sin embargo, sé que son inseguros y me gustaría usarlos de todos modos...
¿Existe otro servidor web que pueda usar para negociar un cifrado nulo con ese cliente y, con suerte, conectarlo a mi servidor aunque no tenga un certificado válido?
En teoría, si el dispositivo acepta estos cifrados, eso debería funcionar con el servidor falso ya que estos cifrados no autentican el servidor, ¿verdad?
Respuesta1
Es poco probable que se pueda convencer a un dispositivo que aplica un certificado raíz específico, es decir, que intenta imponer una validación de certificado adecuada, para que acepte un protocolo de enlace sin autenticación alguna. Por lo general, los cifrados con autenticación anónima no están habilitados en el lado del cliente.
Aparte de eso: un cifrado NULL es un cifrado sin cifrado que aún podría requerir autenticación (como en TLS_RSA_WITH_NULL_SHA). Lo que está solicitando son cifrados sin autenticación que aún podrían cifrar (como TLS_DH_anon_WITH_AES_128_CBC_SHA).