有没有办法在没有任何服务器证书的情况下保护传输层?
我读了RFC 4492并且它说有一个密钥交换算法名称ECDH_ANON这样做,但在许多链接上我发现不建议使用它,因为它容易出现MITM(中间人) )攻击。
我只想提一下我的服务器不公开,我的服务器和客户端在同一个本地子网中。我的服务器正在接受websocket上的连接。
如果我想保护传输层,有哪些选择?我不想通过手动加密有效载荷来做到这一点。
答案 0 :(得分:1)
如果您的服务器和客户端支持,您可以使用名为TLS-SRP的解决方案。但更常见的是只为本地系统安装自签名服务器证书,或者设置自己的CA并向服务器颁发自己的证书,并将CA的根证书安装为客户端的受信任根证书