Recentemente, nossa equipe de infraestrutura disse à nossa equipe de desenvolvimento que você não precisa de um certificado para https. Eles mencionaram que o único benefício da compra de um certificado era dar ao consumidor a tranqüilidade de estar se conectando ao site correto.
Isso vai contra tudo o que eu assumi sobre https.
Eu li a Wikipedia e menciona que você precisa de um certificado confiável ou um certificado autoassinado para configurar https.
É possível configurar o IIS para responder a https sem nenhum certificado?
Respostas:
Não. Você deve ter um certificado. Pode ser autoassinado, mas deve haver um par de chaves público / privado para trocar a chave simétrica da sessão entre servidor e cliente para criptografar dados.
fonte
Em resumo, não, mas pode haver casos sutis, dependendo de como você deseja implantar o sistema.
HTTPS é HTTP sobre SSL / TLS e você pode usar SSL / TLS sem certificado ou com certificados de outros tipos além de X.509 .
A rigor, a especificação HTTP sobre TLS diz o seguinte:
Em resumo, ele é claramente destinado ao uso com um certificado X.509 (faz referência clara à RFC 2459, posteriormente substituída pela RFC 3280 e 5280: PKIs com certificados X.509).
Pode haver um caso extremo quando você estiver usando conjuntos de cifras Kerberos. Pode fazer sentido tratar que o tíquete de serviço Kerberos do servidor possa ter o mesmo objetivo que o certificado X.509 no HTTPS usual, para verificar a identidade da parte remota. Ele não se encaixa perfeitamente nas regras da RFC 2818 (embora possa se enquadrar em " Se o cliente tiver informações externas quanto à identidade esperada do servidor, o nome do host poderá PODER ser omitido. "), Mas não seria completamente absurdo. Dito isto, acho que os navegadores comuns não suportam os conjuntos de cifras TLS Kerberos em geral (alguns podem suportar o Kerberos via autenticação SPNEGO, mas isso não tem relação). Além disso, isso também funcionaria apenas em um ambiente em que o uso do Kerberos é adequado.
" [Dar] a tranqüilidade do consumidor de que ele está se conectando ao site correto " é na verdade um dos principais requisitos para garantir a comunicação entre ele e o servidor. Use um certificado que eles possam verificar, com as convenções de nomenclatura apropriadas (RFC 2818 ou mais recentemente, RFC 6125).
fonte
Você não pode usar https sem nenhum certificado. Você precisa comprar um certificado confiável ou criar um autoassinado para teste. Parte da configuração do servidor da Web para usar https é apontar para os arquivos de chave corretos. Obviamente, isso se aplica a todos os servidores da Web, não apenas ao iis.
fonte
openssl ciphers
e procure por umADH
protocolo comoADH-AES256-SHA
- se esse protocolo estiver presente, você poderá configurar tecnicamente uma conexão sem nenhum certificado envolvido.