OpenFire поддерживает TLS через Http-Bind? Если нет, какова альтернатива

Question

Я заранее прошу прощения за несколько затянувшийся вопрос, но чувствую, что мне нужно предоставить некоторую дополнительную информацию, чтобы должным образом квалифицировать мое текущее затруднительное положение.

Фон

Хорошо, так что во многих отношениях этот вопрос является продолжением предыдущего вопроса , который я задал относительно шифрования TLS / SSL для связи XMPP и какие библиотекибыли лучшими. Сначала я смирился с тем, что использовал только библиотеки .net, которые использовали TLS / SSL, но с тех пор расширился и включил библиотеки Java, которые также являются подходящей альтернативой, и попытался также реализовать простую реализацию API Smack.После исчерпывающего (и в значительной степени ошибочного) исследования, касающегося шифрования TLS / SSL, я понял, что при правильной настройке Openfire для блокировки незащищенных соединений большинство клиентов XMPP при подключении к Openfire будут просто автоматически согласовывать зашифрованные соединения TLS, и это, пока я управляюсписок пользователей на стороне сервера (то есть отключить возможность пользователей создавать новые учетные записи с любого клиента), чтобы я мог более или менее создать безопасное сквозное сотрудничество XMPP через Openfire.

Новая проблема

Как только я решил предыдущие проблемы, я попытался использовать этот метод для безопасной связи через HTTP-привязку через функцию и порты HTTP-привязки Openfire и порты,Причина этого в том, что наша реализация потребует от пользователей подключения к нашему серверу Openfire из дополнительных сетей.Кроме того, и, возможно, очевидно, мы не будем контролировать, как будут настроены брандмауэры этих пользователей для разрешения исходящих соединений через сокет через порт 5222, и, более того, из-за характера системы, которую мы внедряем, маловероятно, что кто-либо из наших клиентов будетбыть готовым / иметь возможность открыть свой брандмауэр, чтобы установить сокет-соединение с нашим сервером XMPP.

Проблема связана с тем, что Http-Bind Openfire, по-видимому, не поддерживает автоматический TLS и вместо этого поддерживает (как выразился в Openfire) метод шифрования «Старый SSL». Этот и другие Openfire Socket против Http обсуждаются здесь в другом вопросе, хотя пока еще не очень подробно

Вопрос (наконец)

• Во-первых, кто-нибудь может подтвердить, что Http-Bind через Openfire на самом деле не поддерживает автоматический TLS?

• Во-вторых, поддерживает ли Smack API Http-Bind?Существует существующий тикет на веб-сайте Ignite в реальном времени, который, кажется, утверждает, что он не поддерживается, однако тикет был создан в 2007 году, и его последний комментарий от июня 2011 года, который спрашивает, было ли сделано какое-либо обновление для этой функции, имеетпока еще осталось без ответа.

• В-третьих, мне кажется, что моим последним средством для достижения защищенной связи с использованием Openfire и Http-bind было бы использование метода «Старый SSL», однако это не выглядит слишком долго.срок решения.Кроме того, форумы Openfire и другие различные мельницы слухов указали, что функциональность SSL будет устаревшей в будущих выпусках Openfire (может ли кто-нибудь подтвердить этот слух).Все, что говорится, это SSL моя единственная реальная альтернатива безопасному соединению с использованием Http-bind.

Answer 1

По умолчанию Openfire открывает два порта для подключения на основе HTTP-Binding (BOSH). Один - это порт с открытым текстом (7080), другой - порт с шифрованием TLS / SSL (7483). Это очень похоже на два порта, используемых для обычных соединений сокетов (5222,5223).

Клиенты, подключающиеся через обычный сокет-порт (не HTTP) (5222), могут поднять первоначально открытые текстовые каналы в зашифрованные каналы (используя STARTTLS). Когда был введен протокол STARTTLS (еще ... ну, тогда у меня не было детей), ранее существовавший порт с шифрованием TLS / SSL (5223) назывался «старым» способом шифрования. Возможно, несколько преувеличенно, были сделаны некоторые предложения отказаться от «старой» техники в пользу «новой».

STARTTLS не был явно добавлен к «обычному текстовому» порту (7080) реализации HTTP Binding (BOSH). Это по замыслу. В отличие от подключения по обычному сокету через порт 5222, BOSH использует транспортный протокол: HTTP. Шифрование канала для BOSH должно выполняться на уровне HTTP (транспорт) (порт 7483), а не на уровне XMPP (приложение) (что переводит обратно на «старый» способ ведения дел в мире вещей, не основанном на HTTP). Кстати, это не зависит от Openfire: это указано протоколом BOSH .

Что касается устаревших «старых» портов на основе SSL: общее мнение (между разработчиками Openfire) состоит в том, что нет смысла удалять «старый» порт SSL: хотя методика несколько устарела, она не менее безопасна, чем более современная (STARTTLS) техника. Кроме того, обсуждение удаления «старых» портов SSL ориентировано на не-HTTP-соединения (сокетные соединения для клиентов, сервер-сервер, внешние компоненты и т. Д.). И, наконец, обсуждение несколько искажено аналогичным, но в то же время отчетливым обсуждением того, следует ли изменять нумерацию портов по умолчанию для BOSH (использование Openfire 7080/7483 предшествует определению стандартной нумерации портов BOSH).

Поскольку задуманная реализация BOSH предназначена для использования HTTP-шифрования, ее зашифрованный порт будет продолжать существовать.

Что касается вопроса о поддержке Smack-BOSH: Smack поддерживает это: https://www.igniterealtime.org/builds/smack/docs/latest/javadoc/org/jivesoftware/smack/bosh/XMPPBOSHConnection.html