У меня есть старое устройство, которое подключается к веб-странице HTTPS и загружает некоторый контент. Я хочу, чтобы это устройство загружало контент с домена, который я контролирую, но у клиента есть определенный встроенный корневой CA, и он подключается только в том случае, если SSL-соединение использует сертификат этого CA.
Я, конечно, могу это исправить, изменив программное обеспечение на клиенте и заменив https URL на HTTP, удалив все HTTPS-содержимое из соединения.
Однако я ищу способ заставить это работать без модификации клиента (только редактирование DNS), и теперь я читаю из «SSL null ciphers».
Можно ли использовать один из шифров SSL без аутентификации (например, TLS_NULL_WITH_NULL_NULLили TLS_DH_anon_WITH_AES_256_CBC_SHA, возможно, заставить это устройство принять мое поддельное соединение? Может быть, оно принимает эти поддельные шифры ...
Но я понятия не имею (и не нашел достаточно информации в Интернете), как мне заставить мой веб-сервер использовать эти шифры.
В настоящее время я использую Apache и пытался настроить эти шифры, но это не сработало, и в документации указано, что нулевые шифры были удалены, поскольку они небезопасны. Однако я знаю, что они небезопасны, и хотел бы использовать их в любом случае...
Есть ли другой веб-сервер, который я мог бы использовать для согласования нулевого шифра с этим клиентом и, надеюсь, заставить его подключиться к моему серверу, даже если у него нет действительного сертификата?
Теоретически, если устройство принимает эти шифры, оно должно работать с поддельным сервером, поскольку эти шифры не аутентифицируют сервер, не так ли?
решение1
Маловероятно, что устройство, которое применяет определенный корневой сертификат, т. е. пытается обеспечить надлежащую проверку сертификата, можно убедить принять рукопожатие без аутентификации вообще. Обычно шифры с анонимной аутентификацией не включены на стороне клиента.
Кроме того: шифр NULL — это шифр без шифрования, который все еще может требовать аутентификации (например, TLS_RSA_WITH_NULL_SHA). То, о чем вы спрашиваете, — это шифры без аутентификации, которые все еще могут выполнять шифрование (например, TLS_DH_anon_WITH_AES_128_CBC_SHA).