未加密的SSL协议？

Question

是否可以通过https发送未加密的消息？例如，要求进行证书验证和授权，但不加密通过套接字发送的实际数据？

Answer 1

可以，TLS和SSL支持“无加密”模式。所讨论的特定客户端和服务器是否配置为启用是另一个问题。

服务器可以在默认情况下启用这些密码套件中的一个，尽管可能性不大。更有可能的是，服务器在默认情况下会启用弱密码套件(如“导出”基于-grade DES的套件)。这就是为什么您应该仔细查看服务器的密码套件和leave only a few trusted, widely-supported algorithms.的白名单

您可以使用TLS_RSA_WITH_NULL_SHA加密套件等来保护流量的真实性和完整性，而无需加密。

这里的"RSA“是指密钥交换算法，而"SHA”是指用于保护流量不被篡改的消息认证算法。"NULL“是加密算法，或者，在本例中，是缺少加密。

重要的是要认识到，尽管流量没有加密，但它被捆绑在SSL记录中。客户端和服务器必须启用SSL。

如果您正在寻找通过SSL交换某些数据的逐步解决方案，那么SSL将被关闭，但应用程序通信仍在继续，这也是可能的，但请记住，它完全不为明文通信提供安全性；它可能被攻击者篡改。因此，例如，使用SSL进行身份验证，然后使用“明文”协议接收使用通过SSL协商的身份验证的命令将是不安全的。

Answer 2

SSL/TLS规范定义了一个“空密码”，您可以为此使用它。大多数客户端和服务器软件出于显而易见的原因禁用它。

然而，如果你正在编写自己的软件，你也许能够说服你的库来协商它。

Answer 3

我认为你行。

但这将是愚蠢的，您将失去身份验证的要点，并使您自己暴露在攻击者面前，这些攻击者可以拦截和更改您的数据包。