【发布时间】:2012-01-11 18:45:37
【问题描述】:
我需要一个客户端在服务器之前进行身份验证的安全协议。这是必要的,因为它涉及隐私问题。我不希望任何未知方知道他们正在与谁联系,除非他们被允许知道。在 TLS 协议中,服务器首先发送他的证书,从而消除了这种可能性。我知道实现我自己的协议是一个坏主意。然而,有选择吗? IE。有没有办法改变协议以其他顺序发送证书?维基百科对 TLS 的引用:http://en.wikipedia.org/wiki/Transport_Layer_Security#Client-authenticated_TLS_handshake
【问题讨论】:
-
你为什么要这样做?你能不能制作一个非常模糊的自签名证书,然后信任你的客户呢?
-
@jglouie 问题是证书包含可识别信息(因为这是证书的目的),任何随机的人都不应该有能力识别用户
-
您可以将伪造的识别数据放入自签名证书中。这种方法会起作用吗,还是您需要一个“真实”的证书,其 CA 已经被客户端信任?
-
@jglouie 我需要一个真正的证书
-
在您考虑让服务器对自身进行身份验证之前需要多强的身份验证?端口敲门是一个简单的实现系统(iptables)。它强制客户端首先提供“密码”,然后才能通过 SSL 连接。