Baru-baru ini tim infrastruktur kami memberi tahu tim pengembangan kami bahwa Anda tidak memerlukan sertifikat untuk https. Mereka menyebutkan bahwa satu-satunya manfaat membeli sertifikat adalah memberikan ketenangan pikiran kepada konsumen bahwa mereka terhubung ke situs web yang benar.
Ini bertentangan dengan semua yang saya asumsikan tentang https.
Saya membaca wikipedia dan menyebutkan Anda perlu baik sertifikat terpercaya atau sertifikat yang ditandatangani diri untuk mengkonfigurasi https.
Apakah mungkin untuk mengkonfigurasi IIS untuk merespon https tanpa setiap sertifikat?
windows-server-2008
ssl
iis-7.5
https
certificate
Menandai
sumber
sumber
Jawaban:
Tidak. Anda harus memiliki sertifikat. Itu bisa ditandatangani sendiri, tetapi harus ada pasangan kunci publik / pribadi di tempat untuk bertukar kunci simetris sesi antara server dan klien untuk mengenkripsi data.
sumber
Singkatnya, tidak, tetapi mungkin ada kasus yang halus tergantung pada bagaimana Anda ingin menggunakan sistem.
HTTPS adalah HTTP over SSL / TLS, dan Anda dapat menggunakan SSL / TLS tanpa sertifikat atau dengan sertifikat jenis lain selain X.509 .
Sebenarnya, spesifikasi HTTP over TLS mengatakan sebagai berikut:
Singkatnya, ini jelas dimaksudkan untuk penggunaan dengan sertifikat X.509 (itu jelas merujuk RFC 2459, kemudian digantikan oleh RFC 3280 dan 5280: PKI dengan sertifikat X.509).
Mungkin ada tepi kasus ketika Anda menggunakan suite cipher Kerberos. Mungkin masuk akal untuk memperlakukan tiket layanan Kerberos server dapat dianggap memiliki tujuan yang sama dengan sertifikat X.509 dalam HTTPS biasa, untuk verifikasi identitas pihak jarak jauh. Itu tidak cukup sesuai dengan aturan RFC 2818 (meskipun mungkin jatuh di bawah " Jika klien memiliki informasi eksternal mengenai identitas server yang diharapkan, cek nama host DAPAT dihilangkan. "), Tetapi itu tidak akan sepenuhnya absurd. Ini dikatakan, saya tidak berpikir browser biasa mendukung suites TLS Kerberos secara umum (angka dapat mendukung Kerberos melalui otentikasi SPNEGO, tapi itu tidak terkait). Selain itu, ini juga hanya akan berfungsi di lingkungan di mana menggunakan Kerberos cocok.
" [Memberikan] ketenangan pikiran konsumen bahwa mereka terhubung ke situs web yang benar " sebenarnya adalah salah satu persyaratan utama untuk mengamankan komunikasi antara mereka dan server Anda. Gunakan sertifikat yang dapat mereka verifikasi, dengan konvensi penamaan yang sesuai (RFC 2818 atau lebih baru RFC 6125).
sumber
Anda TIDAK BISA menggunakan https tanpa sertifikat apa pun. Anda perlu membeli sertifikat tepercaya atau membuat sertifikat yang ditandatangani sendiri untuk pengujian. Bagian dari mengonfigurasi server web Anda untuk menggunakan https adalah dengan mengarahkannya ke file kunci yang benar. Tentu saja, ini berlaku untuk semua server web tidak hanya untuk iis.
sumber
openssl ciphers
dan cariADH
protokol sepertiADH-AES256-SHA
- jika protokol tersebut ada, maka Anda dapat secara teknis mengatur koneksi tanpa melibatkan sertifikat.