क्या बिना प्रमाणपत्र के Https काम कर सकता है?

हाल ही में हमारी इन्फ्रास्ट्रक्चर टीम ने हमारी विकास टीम को बताया कि आपको https के लिए प्रमाणपत्र की आवश्यकता नहीं है। उन्होंने उल्लेख किया कि एक प्रमाण पत्र खरीदने का एकमात्र लाभ उपभोक्ता को मन की शांति देना था जो वे सही वेबसाइट से जुड़ रहे हैं।

यह सब कुछ के खिलाफ जाता है जिसे मैंने https के बारे में माना।

मैं विकिपीडिया पढ़ता हूं और यह उल्लेख करता है कि आपको https कॉन्फ़िगर करने के लिए या तो एक विश्वसनीय प्रमाणपत्र या स्वयं हस्ताक्षरित प्रमाणपत्र की आवश्यकता है।

क्या बिना किसी प्रमाणपत्र के https का जवाब देने के लिए IIS को कॉन्फ़िगर करना संभव है ?

नहीं। आपके पास एक प्रमाण पत्र होना चाहिए। यह स्वयं हस्ताक्षरित हो सकता है, लेकिन डेटा को एन्क्रिप्ट करने के लिए सर्वर और क्लाइंट के बीच सत्र सममित कुंजी का आदान-प्रदान करने के लिए एक सार्वजनिक / निजी कुंजी जोड़ी होनी चाहिए।

संक्षेप में, नहीं, लेकिन सिस्टम को तैनात करने के तरीके के आधार पर सूक्ष्म मामले हो सकते हैं।

HTTPS SSL / TLS पर HTTP है, और आप SSL / TLS का उपयोग बिना प्रमाण पत्र के या X.509 के अलावा अन्य प्रकार के प्रमाणपत्र के साथ कर सकते हैं ।

• अनाम साइफर सुइट: वे एन्क्रिप्शन प्रदान कर सकते हैं, लेकिन प्रमाणीकरण के बिना। जहां तक ​​सुरक्षा की बात है, बेकार है ... RFC 4346 को उद्धृत करने के लिए : " अनाम डिफी-हेलमैन को दृढ़ता से हतोत्साहित किया जाता है क्योंकि यह मानव-मध्य हमलों को रोक नहीं सकता है। "
• पूर्व-साझा कुंजियाँ : दूरस्थ पहचान को सत्यापित करने के लिए इसका अपना तंत्र है, लेकिन कुंजियों की साझा प्रकृति अपनी समस्याओं का सेट (विशेष रूप से सीमित परिनियोजन) में लाती है।
• कर्बेरोस सिफर स्वीट्स : क्लाइंट कर्बरोस प्रिंसिपल नाम के खिलाफ सर्वर की पहचान को सत्यापित कर सकता है।

सख्ती से, टीएलएस विनिर्देश पर HTTP निम्नलिखित कहता है:

सामान्य तौर पर, HTTP / TLS अनुरोधों को एक URI द्वारा dereferencing द्वारा उत्पन्न किया जाता है। परिणामस्वरूप, सर्वर के लिए होस्टनाम क्लाइंट के लिए जाना जाता है। यदि होस्टनाम उपलब्ध है, तो क्लाइंट को सर्वर के सर्टिफिकेट संदेश में प्रस्तुत किए गए सर्वर की पहचान के खिलाफ जांच करनी चाहिए, ताकि बीच-बीच में हमलों को रोका जा सके।

यदि क्लाइंट के पास सर्वर की अपेक्षित पहचान के रूप में बाहरी जानकारी है, तो होस्टनाम चेक MAY छोड़ा जा सकता है। (उदाहरण के लिए, एक ग्राहक एक ऐसी मशीन से जुड़ सकता है जिसका पता और होस्टनाम डायनामिक हो लेकिन क्लाइंट सर्टिफिकेट को जानता हो कि सर्वर मौजूद होगा।) ऐसे मामलों में, स्वीकार्य प्रमाणपत्रों के दायरे को यथासंभव कम करना महत्वपूर्ण है। बीच के हमलों में आदमी को रोकने के लिए। विशेष मामलों में, क्लाइंट के लिए सर्वर की पहचान को अनदेखा करना उचित हो सकता है, लेकिन यह समझना चाहिए कि यह कनेक्शन को सक्रिय हमले के लिए खुला छोड़ देता है।

संक्षेप में, यह स्पष्ट रूप से X.509 प्रमाणपत्र के साथ उपयोग करने के लिए अभिप्रेत है (यह स्पष्ट रूप से RFC 2459 का संदर्भ देता है, बाद में RFC 3280 और 5280: PKI के साथ X.509 प्रमाण पत्र द्वारा अधिगृहीत)।

जब आप करबरोस सिफर सुइट्स का उपयोग कर रहे हैं तो एक किनारे का मामला हो सकता है। दूरदराज के पार्टी की पहचान के सत्यापन के लिए सर्वर के करबरोस सेवा टिकट का सामान्य अर्थ HTTPS में X.509 प्रमाणपत्र के समान उद्देश्य हो सकता है, यह समझ में आता है। यह RFC 2818 के नियमों के भीतर बिल्कुल फिट नहीं है (हालांकि यह " सर्वर की अपेक्षित पहचान के रूप में ग्राहक के पास बाहरी जानकारी है, तो होस्टनाम चेक MAY छोड़ा जा सकता है। "), लेकिन यह नहीं होगा। पूरी तरह से बेतुका। यह कहा जा रहा है, मुझे नहीं लगता कि सामान्य ब्राउज़र सामान्य रूप से टीएलएस केर्बरोस साइफर सुइट्स का समर्थन करते हैं (एक संख्या एसपीएनईजीओ प्रमाणीकरण के माध्यम से केर्बोस का समर्थन कर सकती है, लेकिन यह असंबंधित है)। इसके अलावा, यह केवल ऐसे वातावरण में भी काम करेगा जहां केर्बरोस का उपयोग करना उपयुक्त है।

" [देते हुए] मन की उपभोक्ता शांति जिसे वे सही वेबसाइट से जोड़ रहे हैं " वास्तव में उनके और आपके सर्वर के बीच संचार हासिल करने के लिए प्रमुख आवश्यकताओं में से एक है। एक प्रमाण पत्र का उपयोग करें जिसे वे सत्यापित कर सकते हैं, उपयुक्त नामकरण सम्मेलनों (RFC 2818 या हाल ही में RFC 6125) के साथ।

आप बिना किसी प्रमाणपत्र के https का उपयोग नहीं कर सकते। आपको या तो एक विश्वसनीय प्रमाणपत्र खरीदने या परीक्षण के लिए एक स्व-हस्ताक्षरित बनाने की आवश्यकता है। Https का उपयोग करने के लिए अपने वेब सर्वर को कॉन्फ़िगर करने का एक हिस्सा इसे सही कुंजी फ़ाइलों को इंगित करना है। बेशक, यह न केवल आईस के सभी वेब सर्वरों पर लागू होता है।