jCryption + CRAM是SSL的一个很好的替代品吗？

Question

我想知道jCryption +挑战响应认证机制是否是SSL的一个好的替代方案。

我知道SSL要好得多，但我正在做一个项目，其中所有者不想购买SSL证书，我想找到一个解决方案来提供最好的安全方法，可以在不使用SSL的情况下获得。

有什么想法吗？

Answer 1

不，不是的。

就在我脑海中，我可以想到许多原因: HTTP报头仍然是未加密的，密钥交换容易受到中间人攻击，并且您高度信任客户端代码。

只需使用a free SSL certificate from Startcom即可。

Answer 2

在jCryption的info部分

jCryption目前的状态不能替代SSL，因为没有身份验证，但jCryption的主要目标应该是一个非常容易和快速安装的插件，其中提供了一个基本级别的安全。

这是不言而喻的。这个插件不是SSL的替代品，也不是它的替代品。我们的目标不是高科技安全。

如果您想要以任何方式都值得信任的安全性，只需购买SSL证书。如果你愿意，也可以做你自己的。

Answer 3

您可以尝试使用Challenging Authentication-Agreement Protocol (CAAP)。对于算法，我建议您在CTR模式下使用RSA和Serpent，并在每条消息后附加一个HMAC-SHA-512验证码。这可以用最少的知识安全地实现。尽管一个配置良好的SSL系统可能会更容易、更安全。

如果您的组织不是面向公众的服务器，则始终可以在组织内部启动自己的证书颁发机构。这样一来，SSL证书就不会花你很多钱了。