程序员经验分享-hwhale

未加密的 SSL 协议?

2023-11-21

是否可以通过未加密的 https 发送消息?例如,要求进行证书验证和授权,但不加密通过套接字发送的实际数据?


是的,TLS 和 SSL 支持“无加密”模式。所讨论的特定客户端和服务器是否配置为启用是一个单独的问题。

服务器有可能默认启用这些密码套件之一,尽管可能性不大。更有可能的是,服务器默认启用弱密码套件(例如“导出”级基于 DES 的套件)。这就是为什么您应该仔细检查服务器的密码套件白名单,并且只留下一些值得信赖、广泛支持的算法。

您可以使用 TLS_RSA_WITH_NULL_SHA 密码套件等来保护流量的真实性和完整性,而无需加密。

在这种情况下,“RSA”指的是密钥交换算法,而“SHA”指的是用于保护流量不被更改的消息认证算法。 “NULL”是加密算法,或者在本例中是缺乏加密。

重要的是要认识到流量虽然没有加密,但却捆绑在 SSL 记录中。客户端和服务器必须启用 SSL。

如果您正在寻找一种降级解决方案,其中一些数据通过 SSL 进行交换,那么 SSL 将被关闭,但应用程序流量仍在继续,这也是可能的,但请记住,它绝对不为明文流量提供任何安全性;它可以被攻击者篡改。因此,例如,使用 SSL 进行身份验证,然后降级到“明文”协议来接收使用通过 SSL 协商的身份验证的命令,这是不安全的。

本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)

Encryption

SSL

https

Certificate

PkI

未加密的 SSL 协议? 的相关文章

  • 我应该存储密码的哈希值吗?

    用户系统和密码 我正在查看 MD5 内容 我想知道密码的正常 良好做法是什么 现在 我认为人们对密码进行超级加密并存储哈希值 如果是这样 密码检查如何工作 我只是让输入的密码再次经过加密过程 然后用存储的哈希值检查哈希值 对吗 这个问题可能

  • OpenJDK 11 问题 - 客户端在上次 UNWRAP 之前完成握手

    我正在将代码库从 Oracle Java 1 8 0 131 迁移到 OpenJDK 11 0 1 我们有实现 nio ssl 套接字通道的代码 在 Java 8 中 客户端 服务器握手工作正常 在 Java 11 中 客户端在解包来自服务

  • Golang 中的确定性 RSA 加密 - 如何在多次加密下为给定消息获得相同的结果

    对于下面的RSA加密代码 每次对同一条消息进行加密时 结果都会不同 我发现这是由于rand Reader in the rsa EncryptOAEP功能使其更加安全doc https pkg go dev crypto rsa Encry

  • 如何使用httplib2进行相互证书认证

    我正在使用 httplib2 从我的服务器向另一个 Web 服务发出请求 我们想要使用相互证书身份验证 我了解如何使用证书进行传出连接 h set certificate 但是如何检查应答服务器使用的证书 这张票 http code goo

  • SSLHandShakeException 没有适当的协议

    我最近向我的网站添加了 SSL 可以通过 https 访问它 现在 当我的 java 应用程序尝试向我的网站发出请求并使用缓冲读取器从中读取时 它会生成此堆栈跟踪 我没有使用自签名证书 该证书来自 Namecheap 它使用 COMODO

  • 具有动态 apache vhost 的非通配符证书

    我正在尝试根据用于连接到我的服务器的 url 动态读取 SSL 证书的位置 我尝试了几种不同的方法 但似乎都不起作用 目前我的配置如下所示 UseCanonicalName Off listen 443

  • 如何为我的 Android Market APK 创建证书?

    我想将我的第一个 APK 应用程序上传到 Android Market 但我收到了此错误 顺便说一下 在 stackoverflow 中搜索时并没有引导我找到正确的链接 市场不接受使用调试证书签名的 APK 创建有效期至少 50 年的新证书

  • 使用 Java https 上传到 Imgur v3 错误

    我目前正在尝试使用他们当前的 API v3 上传到 imgur 但是我不断收到错误 错误 javax net ssl SSLException 证书中的主机名不匹配 api imgur com imgur com OR imgur com

  • 无法访问 GitLab:SSL 证书已过期

    在 Visual Studio 中 我尝试从 GitLab 上的存储库中提取一些更改 但它给了我一个错误 Git 因致命错误而失败 无法访问https gitlab git SSL证书问题 证书已过期 如何生成新证书并将其添加到 VS 中

  • 使用.pem文件在java中发送https请求

    我有包含证书 私钥和信任链的 pem 文件 以及我使用它生成的 p12 文件openssl pkcs12 导出 openssl pkcs12 export out file p12 in file pem inkey file pem pa

  • 如何将 .cer 证书导入 java 密钥库?

    在开发 Java Web 服务客户端期间 我遇到了一个问题 Web 服务的身份验证使用客户端证书 用户名和密码 我从网络服务背后的公司收到的客户端证书位于 cer格式 当我使用文本编辑器检查该文件时 它具有以下内容 BEGIN CERTIF

  • PRAW 出现 SSLError?

    我正在尝试开始使用 PRAW 但在使用 login 时遇到问题 我有以下代码 import praw r praw Reddit This is a test bot r login myRedditUsername password 我收

  • Android WebView setCertificate 问题 SSL 问题

    我看过很多关于 SSL 错误的帖子和信息 并且我自己也偶然发现了一个 我尝试使用 GlobalSign CA BE 证书通过 Android WebView 访问网页 但收到不受信任的错误 对于大多数手机来说 处理这个问题效果很好 只需告诉

  • 合法管理员如何获取 Active Directory 中的用户密码?

    如果密码以可逆加密方式存储在 Active Directory 中 管理员 开发人员如何提取和解密该密码 具体来说 我指的是this http technet microsoft com en us library cc784581 WS

  • 如何显示证书的主题备用名称?

    我发现的最接近的答案是使用 grep gt openssl x509 text noout in cert pem grep DNS 有更好的方法吗 我只喜欢命令行 Thanks 较新版本的 openssl 有一个 ext 选项 允许您仅打

  • Android 版 Qt 和 BoringSSL

    我正在开发一个基于 Qt 的 Android 应用程序 它使用 QSslSocket 下载数据 由于 Android 从 OpenSSL 转向 BoringSSL 因为依赖 OpenSSL 库的 Marshmallow Qt 程序在 And

  • https登录的安全性?

    我正在编写一个 Apple iOS 应用程序 用于登录帐户并获取一些余额 它使用纯 html 链接进行登录 用户名和密码在运行时动态加载到登录链接 我使用 Wireshark 嗅探了流量 但在发送的任何包中都找不到用户名或密码 我猜 htt

  • 将第一个数据证书导入 ColdFusion

    我尝试使用 keytool 将证书从 First Data 导入到我的 ColdFusion 9 设置中 如下所示 keytool importcert keystore MYCF9Dir runtime jre lib security

  • 保护移动连接 - 存储秘密和密钥

    感谢您花时间阅读本文 我是一名年轻的开发人员 在 Web 项目和服务器端编码方面拥有一些专业经验 但我现在正在构建我的第一个移动应用程序 经过在线深入研究后 我还没有能够澄清我关于保护移动应用程序数据传输的一些问题 这是我认为我理解正确的

  • 使用 https 的 Web 服务身份验证给出错误

    我编写了一个简单的 Web 服务 并使用摘要和 HTTPS 身份验证来保护它 我已经使用 Java 中的 keytool 生成了我的证书 当我通过创建 war 文件在 Tomcat 中部署 Web 服务时 axis 的欢迎页面正确显示 但是

随机推荐

  • 如何关闭xampp中的通知报告?

    在远程服务器上没有问题 但在本地主机 xampp 3 1 中我无法关闭报告通知

  • 从另一个数据库访问用户定义的表类型

    我需要从另一个数据库访问用户定义的表类型 我使用了以下格式 DECLARE Hierarchy AS DatabaseName Schema Table 我收到以下错误 类型名称 DatabaseName Schema Table 包含的内

  • Karma 无法捕获 PhantomJS

    我们已经设置了一个 Jenkins CI 服务器 运行针对 PhantomJS 的 Karma 我们通过 Grunt 运行测试 Jenkins Grunt 和 Phantom 都运行正确 Karma 似乎启动良好 但 Karma 无法捕获

  • 是否可以减少 MongoDB 内存使用量?

    我正在使用 64 位 MongoDB 进行测试 如果我配置大尺寸备份 那么 MongoDB 内存利用率似乎很高 是否有可能减少 MongoDB 的内存利用率 MongoDB 使用 150 MB 内存是否理想

  • 在 Polly 库中使用 httpclient 的指数退避

    我刚刚读到波莉图书馆从桌面代理到服务器进行通信时 我需要处理 3 次重试 目前我喜欢指数退避 但是 我很难理解如何在我的代码中实现这一点 这是我到目前为止所做的 using HttpClient client new HttpClient

  • AutoFixture:模拟方法不返回冻结实例

    我正在尝试编写这个简单的测试 var fixture new Fixture Customize new AutoMoqCustomization var postProcessingAction fixture Freeze

  • C#:Dictionary 如何在没有 Add(KeyValuePair) 的情况下实现 ICollection> ?

    看着System Collections Generic Dictionary

  • CocoaPods 找不到 pod“GTMSessionFetcher/Core”的兼容版本

    我正在制作一个 React Native 移动应用程序 并希望合并 Firebase 和 Firebase 身份验证 但是 当我运行 pod install 或 pod update 时 我遇到此错误 我做了一些研究 发现这个问题还没有被谷

  • Cocos2d-x android无法解析cocos2dx库

    我从 macOS xcode 4 5 开始 我尝试过教程 使用cocos2dx完成macOSX的构建 问题发生在android源中 没有描述cocos2dxActivity的内容 所以 org cocos2dx lib不是其他文件 安卓没有

  • 扩展高度以包含绝对定位的儿童

    我正在为 CMS 构建 html javascript 主题设计器 元素是绝对定位的 可以通过鼠标移动 调整大小 和 或包含可编辑文本 其高度可以由行数确定 然而 我遇到了一个问题 即父元素的高度不会扩展以包含其绝对定位的子元素 最少的代码

  • 更改摩卡的默认超时

    如果我们有一个单元测试文件 my spec js 并使用 mocha 运行 mocha my spec js 默认超时为 2000 毫秒 可以使用命令行参数覆盖它以进行部分测试 mocha my spec js timeout 5000 是

  • 如何使用 Azure Blob 存储 SDK 将 Blob 从一个容器复制到另一个容器

    我一直在参考文档https learn microsoft com en us azure storage blobs storage quickstart blobs python 我无法找到将文件从一个容器复制 移动到另一个容器的正确

  • Swift 进度指示器图像蒙版

    首先 该项目是使用 Swift 构建的 我想创建一个自定义进度指示器 在脚本运行时 填满 该脚本将调用从远程服务器拉取的 JSON 提要 为了更好地形象化我所追求的 我做了这个 我的猜测是有两个 PNG 图像 一白一红 然后根据进度量简单地

  • 计算值用 R 改变符号的次数

    我对 R 还很陌生 但我对它很感兴趣 因为我发现它很容易使用 尽管我不是程序员 我试图解决以下问题 我需要计算列中值更改符号的次数 然后按路径对结果进行排序 下面是表格的示例 路径是一个因素 一旦我最终得到数据 我就可以计算出如何对数据进行

  • 在 Spring 应用程序的事务中使用 Async

    我有一个 Spring 应用程序 它使用以下命令更新 MySQL DB 中的特定实体详细信息 Transactional方法 并且在同一方法中 我尝试使用调用另一个端点 Async这是另一个 Spring 应用程序 它从 MySql DB

  • 如何使用ArrayList的get()方法

    我是 java 新手 也是 OOP 新手 我正在尝试了解 ArrayList 类 但我不明白如何使用 get 我尝试在网上搜索 但找不到任何有用的东西 这是官方文档ArrayList get 无论如何 这很简单 例如 ArrayList l

  • 加载图像时显示加载图标

    我想在 a 中显示背景图像 加载微调器div这将在其中加载图像 图像将在完全加载后显示 执行如下操作 div style background image none div 演示 jQuery 中 我如何使用 Angular2 Ionic2

  • 如何在 VBA 应用程序中隐藏代码

    Is it possible to hide VBA code normally accessible from Excel s VBA Editor Alt F11 from a user s prying eyes Can I for

  • 将数字四舍五入到前 3 位数字(以数字 != 0 开头)

    是否有一个预定义的格式函数可以将数字四舍五入到前 3 位数字 开头应该是数字 0 0 02528498 to 0 0253 1 857403 to 1 86 2060943 to 2060000 0 00006513832 to 0 000

  • 未加密的 SSL 协议?

    是否可以通过未加密的 https 发送消息 例如 要求进行证书验证和授权 但不加密通过套接字发送的实际数据 是的 TLS 和 SSL 支持 无加密 模式 所讨论的特定客户端和服务器是否配置为启用是一个单独的问题 服务器有可能默认启用这些密码

热门标签