Tenho um dispositivo antigo que se conecta a uma página HTTPS e baixa algum conteúdo. Quero que esse dispositivo baixe conteúdo de um domínio que eu controlo, mas o cliente tem uma CA raiz específica incorporada e só se conecta se a conexão SSL usar um certificado dessa CA.
Certamente posso consertar isso alterando o software no cliente e substituindo o URL https por um HTTP, removendo todo o material HTTPS da conexão.
No entanto, estou procurando uma maneira de fazer isso funcionar sem modificação do cliente (apenas edições de DNS) e agora li as "cifras nulas SSL".
Poderia usar uma das cifras SSL sem autenticação (por exemplo, TLS_NULL_WITH_NULL_NULLou TLS_DH_anon_WITH_AES_256_CBC_SHApossivelmente fazer esse dispositivo aceitar minha conexão falsa? Talvez ele aceite essas cifras falsas...
Mas não tenho ideia (e não encontrei muita informação na internet) de como posso fazer com que meu servidor web realmente use essas cifras.
Atualmente estou usando o Apache e tentei configurar essas cifras, mas não funcionou e a documentação afirma que as cifras nulas foram removidas porque são inseguras. Porém, sei que eles são inseguros e gostariam de usá-los de qualquer maneira...
Existe outro servidor web que eu possa usar para negociar uma cifra nula com esse cliente e, com sorte, conectá-lo ao meu servidor, mesmo que não tenha um certificado válido?
Em teoria, se o dispositivo aceita essas cifras, isso deveria funcionar com o servidor falso, já que essas cifras não autenticam o servidor, não é?
Responder1
É improvável que um dispositivo que impõe um certificado raiz específico, ou seja, que tenta impor a validação adequada do certificado, possa ser convencido a aceitar um handshake sem nenhuma autenticação. Normalmente as cifras com autenticação anônima não são habilitadas no lado do cliente.
Além disso: uma cifra NULL é uma cifra sem criptografia que ainda pode exigir autenticação (como em TLS_RSA_WITH_NULL_SHA). O que você está pedindo são cifras sem autenticação que ainda podem criptografar (como TLS_DH_anon_WITH_AES_128_CBC_SHA).