Criptare http fara autentificare? Cum?

Marius '95

troubleShooter
Am un server web, IP dinamic si adresa DNS de la no-ip.
Cum fac sa obtin criptarea trasferurilor http intre server si client dar fara autentificarea serverului sau clientului?
Am citit despre certificate self-signed, dar nu este chiar ce am eu nevoie. Clientii afiseaza eroare de tipul "esti sigur ca ai incredere ca asta e serverul...?". Pe mine nu ma intereseaza sa autentific serverul. Ma doare in cot daca fura altcineva adresa. Imi trebuie un certificat fara nume pe el, exclusiv pentru criptare, daca exista asa ceva.

Intrebarea a doua: presupunand ca folosesc certificat self-signed sau certificat emis de CA propriu, exista vreun server care sa poata fi configurat in asa fel incat sa functioneze mixt: http si https dar anumite directoare sa nu fie disponibile decat prin https?
 
1. http criptat? Nu, https.
2. Pe un server de web poti configura un site necriptat (http) pentru unele foldere si alt site ce foloseste doar https pentru alte foldere.
3. Nu exista certificat anonim recunoscut. Ori ai un lant de certificare la cineva de tier 1 si atunci esti cunoscut ori esti self-certified si browserul o sa spuna asta (prin mesajul "esti sigur")
Nu e nevoie de autentificarea clientului pentru https
 
Păi dacă nu-ți place https, care nu poate lucra fără autentificare (certificatul ăla semnează o cheie publică folosită la criptarea mesajelor de la stabilirea conexiunii; dacă cheia nu e semnată poate oricine să-ți trimită alta), poți să-ți faci VPN sau tunelare prin ssh, dar trebuie să mai ai chestii instalate pe toți clienții pentru asta.

Certificatele self-signed pot fi acceptate transparent de clienți dacă îți adaugi CA-ul în browser (unsafe, da' merge).

Sau îți iei un certificat ieftin.
 
Grrrr... dar nu pot sa zic ca nu ma asteptam sa nu mearga simplu. Pana la urma cred ca imi fac propriul CA si cu asta basta. Cine ma cunoaste si are treaba pe https va accepta sa-si instaleze certificatul root in sistem; daca nu ma cunoaste, n-are ce cauta la mine pe https.

In cazul certificatelor self-signed, butonul de "accept" al broserului va tine minte alegerea, sau la urmatoarea vizita apare iar avertizarea?

Se poate SSL-iza un server gen IceCast? Clientii (ex: Winamp, VLC, WMP) ce vor zice?
 
Se poate SSL-iza un server gen IceCast? Clientii (ex: Winamp, VLC, WMP) ce vor zice?
Daca faci tunel continutul e criptat, dar e transparent pentru client. Nu poti lega SSL de un protocol de streaming oarecare, similar nu poti pune aripi la motocicleta si sa te astepti la 100 km/h sa decoleze (viteza unui ULV la decolare). Trebuie ca protocolul de streaming sa stie SSL; si nu stiu daca se poate face streaming criptat pentru ca la criptare daca ai pierdere sau corupere de informatie se duce naibii tot pachetul, la streaming nu se intampla mare lucru.
 
Marius '95 said:
In cazul certificatelor self-signed, butonul de "accept" al broserului va tine minte alegerea, sau la urmatoarea vizita apare iar avertizarea?

Dacă clientul îşi instalează certificatul tău în browser nu va mai apărea acea avertizare.

Avertizarea aia apare când nu se ştie nimic despre certificatul serverului. Dacă ai în browser certificatul (fie instalat manual de la self-CA-ul tău, fie venit la pachet cu browserul de la autorităţile recunoscute) nu apare niciun avertisment. Eventual se poate schimba grafica la indicatorul SSL din bară, nu ştiu, n-am încercat.

Streaming peste HTTP e un fel de hack, HTTP nefiind de fapt gândit pentru aşa ceva, dar funcţionează. Şi poate funcţiona şi peste HTTPS, cu condiţia ca clienţii şi serverul să aibă suport de HTTPS, ceea ce habar n-am care au şi care nu. Nişte căutări de gen "winamp ssl streaming" sau "icecast ssl streaming" probabil te vor edifica.
 
Back
Top