我有以下关于 SSL/TLS 的问题。
在服务器 hello 之后,开始服务器的身份验证阶段。
从各种文章/书籍看来,这个阶段是可选的。例如在维基
服务器发送其证书消息(取决于所选的密码套件,这可能会被服务器省略)。
但是我不明白说它取决于加密套件是什么意思。
所以我的理解是 aServerKeyExchange
或 aCertificate
跟随 a ServerHello
。
所以我的问题是,服务器身份验证可以一起省略吗?
例如,要在 Tomcat 中省略客户端身份验证,您只需将连接器配置为不请求它。
如何省略服务器身份验证?它是否取决于我使用的 java 框架,如果它支持的话?
省略服务器身份验证是什么意思?如果不发送证书,那么证书就ServerKeyExchange
成为强制性的,或者通常框架允许提供本地公钥,而不是如果一个人想要通过身份验证阶段来提高性能,或者因为它没有任何意义?
或者这是否取决于加密套件,正如维基似乎暗示的那样?
注意:
我了解服务器应始终进行身份验证。我的问题的上下文虽然是在同一台机器上运行的客户端应用程序和服务器(我猜是 java 运行时),所以可以认为绕过服务器身份验证是安全的(我认为)。
非常欢迎任何输入!
谢谢!