У меня следующий вопрос по SSL / TLS.
После того, как сервер привет, запускает фазу аутентификации сервера.
Из различных статей / книг кажется, что эта фаза является необязательной.Например, в вики
Сервер отправляет свое сообщение сертификата (в зависимости от выбранного набора шифров, оно может быть опущено сервером).
Но я не понимаю, чтоэто значит сказать, что это зависит от комплекта шифрования.
Так что я понимаю, что либо ServerKeyExchange, либо Certificate следует за ServerHello.
Так что мой вопрос, может ли аутентификация сервера быть опущенавместе?
Например, чтобы исключить аутентификацию клиента в Tomcat, вы просто настраиваете соединитель так, чтобы он не запрашивал его.
Как можно опустить аутентификацию сервера?Зависит ли это от используемого Java-фреймворка, если он его поддерживает?
И что значит пропустить аутентификацию сервера?Если сертификат не отправляется, то ServerKeyExchange становится обязательным, или обычно фреймворки разрешают вместо этого предоставлять локальный открытый ключ, если кто-то хочет пройти этап аутентификации для производительности или потому что это не имеет никакого смысла?
Илиэто как-то зависит от комплекта шифрования, как, по-видимому, подразумевает вики?
ПРИМЕЧАНИЕ:
Я понимаю, что сервер всегда должен проходить аутентификацию.Хотя контекст моей проблемы заключается в том, что клиентское приложение и сервер работают на одном компьютере (и я полагаю, что это среда выполнения Java), поэтому можно считать безопасным обход аутентификации сервера (я думаю).
Любые пожелания приветствуются!
Спасибо!