需要WebRTC的coturn证书和pkey吗？

Question

我们使用coturn与Matrix Synapse和Riot客户端。我们是否需要在coturn配置中使用证书和pkey，或者加密已经完全由WebRTC完成了？

Answer 1

在coturn Github页面上的this对话中，只要您的信令层是安全的，就不需要强制DTLS。媒体已经被加密，用于加密的密钥在信令层共享：

否，即使与TURN服务器建立了未加密的连接，WebRTC数据也不能被泄露。WebRTC中的密钥交换在不同的层(通常称为信令层)上完成，需要对信令层进行加密和保护，以防止窥探或MITM攻击。TURN服务器只是一个中继，它不知道或洞察WebRTC对等体之间来回发送的数据；它看到的只是来自客户端A的数据包，这些数据包需要发送到客户端B。如果有人能够嗅探TURN流量，则存在IP/会话数据泄漏的可能性，但老实说，如果参与者能够这样做，他们无论如何都能够看到所有流量的源和目标IP，因此加密TURN流量不会给您提供任何信息。根据我的经验，由于特定客户端网络上的代理/防火墙规则，需要到TURN服务器的加密连接，而不是因为TURN服务器上的MITM风险。如果您的配置没有(D)TLS到TURN服务器，那么就没有理由强制执行它。DR使你的信令层是加密的和安全的，除非你真的需要，否则不要在TURN服务器上使用(D)TLS。

还有一个对WebRTC规范(https://www.w3.org/TR/webrtc/#privacy-and-security-considerations)的引用。