Есть ли взлом или архитектура SSL/TLS позволяет осуществлять связь с сервером без запроса его сертификата, возможно, предварительно загрузив сертификат и установив его,
Я спрашиваю об этом потому, что во время процесса установления связи расширение SNI открывает веб-сайт, с которым я общаюсь, поскольку SNI отправляет имя домена в виде обычного текста ...
Я пытался использовать более старые версии SSL, где не было SNI, но большинство серверов не поддерживают более старую версию SSL ...
1 ответ
2
Вы спрашиваете о двух разных вещах: утечка имени хоста клиентом, отправляющим SNI, и утечка имени хоста сервером, отправляющим сертификат. Они полностью независимы друг от друга; SNI не заставляет отправлять сертификат, и отключение SNI не будет препятствовать отправке сертификата.
Клиент на сервер
во время процесса установления связи расширение SNI открывает веб-сайт, с которым я общаюсь
Если вы общаетесь со своими серверами, просто не отправляйте расширение SNI. Это необязательно в большинстве клиентских библиотек TLS. (Например, в GnuTLS он не отправляется по умолчанию, если не был вызван gnutls_server_name_set ().)
С другой стороны, для случайных сайтов в Интернете это часто неизбежно.
Сервер клиенту
Есть ли взлом или архитектура SSL/TLS позволяет общаться с сервером, не запрашивая его сертификат
TLS поддерживает другие методы проверки подлинности сервера - TLS-PSK является наиболее распространенной альтернативой (хотя обычно он работает только с серверами, которые предварительно настроены с помощью общего ключа, а не случайными веб-сайтами в Интернете).
В качестве альтернативы, сертификат может содержать случайное имя хоста или вообще не содержать имя хоста, и клиент может проверить его, используя другие методы (по отпечатку пальца или хешу SPKI) - TLS вообще не требует использования имени хоста.