问SSL和证书

EN

1. 如果服务器没有经过身份验证，那么您实际上就不能拥有一个私有信道--对于中间人来说，偷听、中继两个合法当事方之间的通信太容易了。如果您没有隐私或身份验证，为什么要使用SSL？实际上，有一些“匿名”模式，使用公钥加密技术来商定加密密钥，但客户端或服务器都没有提供证书；但是，我从未见过使用它们，可能是因为它们无法解决中间人窃听攻击的问题。
2. 是的，服务器提供了一个证书。服务器可以从客户端请求证书。客户端可以使用证书进行响应，或者忽略请求。如果忽略请求，服务器可以选择继续使用匿名客户端，或终止连接。
3. 客户端和服务器的角色是在SSL握手过程中建立的。第一条消息称为ClientHello。发送此消息的一方是客户端。通常，这将是发起TCP连接的一方，但它不必是(实际上，SSL中没有任何需要TCP作为传输的东西)。
4. 是的，正如我在#1中提到的，SSL有“匿名”模式，双方都不能安全地对对方进行身份验证。这将提供一个私人的，防篡改渠道之间的不知名的各方。然而，既然你不知道谁在频道的另一端，你就不知道这是一个中间人，他同时进行了两次握手，并拦截了你和你认为正在交谈的那个人之间的所有流量。要阻止这种情况，您必须在SSL之上有一个身份验证协议，为了安全起见，该协议最终将不可避免地看起来非常类似于经过身份验证的SSL。

日安，

以下是对您的问题的答复：

据我所知，在只有客户端才能提供证书的情况下，无法建立连接。知道为什么SSL不允许这样做吗？

SSL证书将保护位于服务器上的网站，并保护用户计算机与网站之间的数据传输。它还取决于证书的类型。

( 2)我假设可以将SSL连接配置为：

只要求服务器提供证书，服务器和客户端都需要提供证书。

服务器确实是必要的。此外，客户端还需要提供CSR，以便为特定网站提供唯一的SSL证书。

3)也许是一个愚蠢的问题，但是SSL如何“知道”哪一方是客户端，哪一方是服务器？

客户端和服务器的验证是在SSL连接期间完成的。当网站访问者提供重要信息时，只要有SSL证书，就会受到保护，但也取决于所安装证书的类型。

4)是否可以在不请求任何证书的情况下建立SSL连接？

它取决于证书的类型(自动生成或来自证书颁发机构)。SSL证书是唯一的，并且只针对特定的网站并根据客户端提供的CSR颁发。

诚挚的问候,

www.networking4all.fr