HTTPS 웹 페이지에 연결하고 일부 콘텐츠를 다운로드하는 오래된 장치가 있습니다. 해당 장치가 내가 제어하는 도메인에서 콘텐츠를 다운로드하기를 원하지만 클라이언트에는 특정 루트 CA가 내장되어 있으며 SSL 연결이 이 CA의 인증서를 사용하는 경우에만 연결됩니다.
클라이언트의 소프트웨어를 변경하고 https URL을 HTTP URL로 교체하여 연결에서 모든 HTTPS 항목을 제거하면 이 문제를 확실히 해결할 수 있습니다.
그러나 클라이언트를 수정하지 않고(DNS 편집만) 해당 작업을 수행할 수 있는 방법을 찾고 있으며 이제 "SSL null 암호"를 읽었습니다.
인증 없이 SSL 암호 중 하나를 사용할 수 있습니까(예: TLS_NULL_WITH_NULL_NULL또는 TLS_DH_anon_WITH_AES_256_CBC_SHA이 장치가 내 가짜 연결을 허용하도록 만들 수 있습니까? 어쩌면 이러한 가짜 암호를 허용할 수도 있습니다...)
그러나 나는 내 웹 서버가 실제로 이러한 암호를 사용하도록 하는 방법을 전혀 모릅니다(그리고 인터넷에서 많은 정보를 찾지 못했습니다).
현재 Apache를 사용하고 있으며 이러한 암호 구성을 시도했지만 작동하지 않았으며 문서에는 null 암호가 안전하지 않기 때문에 제거되었다고 명시되어 있습니다. 그러나 나는 그것이 안전하지 않다는 것을 알고 어쨌든 그것을 사용하고 싶습니다 ...
해당 클라이언트와 널 암호를 협상하고 유효한 인증서가 없더라도 내 서버에 연결하는 데 사용할 수 있는 또 다른 웹 서버가 있습니까?
이론적으로 장치가 이러한 암호를 허용하는 경우 이러한 암호는 서버를 인증하지 않으므로 가짜 서버에서도 작동해야 합니다. 그렇죠?
답변1
특정 루트 인증서를 시행하는 장치, 즉 적절한 인증서 유효성 검사를 시행하는 장치가 전혀 인증 없이 핸드셰이크를 수락한다고 확신할 가능성은 거의 없습니다. 일반적으로 익명 인증을 사용하는 암호는 클라이언트 측에서 활성화되지 않습니다.
그 외에도 NULL 암호는 인증이 필요할 수 있는 암호화가 없는 암호입니다(예: TLS_RSA_WITH_NULL_SHA). 당신이 요구하는 것은 인증 없이 암호화를 수행할 수 있는 암호입니다(예: TLS_DH_anon_WITH_AES_128_CBC_SHA).