jCryption + CRAM是SSL的一个很好的替代品?
我想知道jCryption + Challenge Response身份validation机制是否是SSL的一个很好的替代方案。
我知道SSL非常好,但我正在制作一个项目,业主不想购买SSL证书,我想找到一个解决方案,提供最好的安全方法,可以在不使用的情况下获得SSL
有任何想法吗?
不,这不对。
在我的头脑中,我可以想到很多原因:HTTP标头仍未加密,密钥交换容易受到中间人攻击,并且您在客户端受到高度信任码。
只需使用Startcom提供的免费SSL证书即可 。
在jCryption的信息部分:
jCryption它的当前状态不能替代SSL,因为没有身份validation ,但jCryption的主要目标应该是一个非常简单快速的安装插件,它提供了一个基本的安全级别 。
这是不言自明的。 这个插件不是以任何方式替代SSL,也不是它的意思。 目标不是高科技安全。
如果您想要以任何方式信任的安全性,只需购买SSL证书即可。 或者如果你愿意,可以自己制作。
您可能对本文感兴趣:
- Javascript Cryptography被认为是有害的
您可以尝试使用具有挑战性的身份validation协议协议(CAAP) 。 我建议您在CTR模式下使用RSA和Serpent,并在每条消息后附加HMAC-SHA-512身份validation代码。 这可以用最少的知识安全地实施。 虽然配置良好的SSL系统可能更容易和更安全。
如果这不是面向公众的服务器,您始终可以在组织内部启动自己的证书颁发机构。 这样SSL证书就不会让你失去一条腿和一条腿。