建议服务端新增TLS加密功能向下兼容,另外为什么不用原有TLS加密传输?
djylb opened this issue · comments
D-Jy commented
开放新端口用于tls,或者采用回落方式实现。
默认证书和忽略证书校验有中间人攻击风险,建议后续完善。
另外原版NPS已经有tls加密传输了,为什么要新实现一个?
## 加密传输
如果公司内网防火墙对外网访问进行了流量识别与屏蔽,例如禁止了ssh协议等,通过设置 配置文件,将服务端与客户端之间的通信内容加密传输,将会有效防止流量被拦截。
- nps现在默认每次启动时随机生成tls证书,用于加密传输
yisier commented
开放新端口用于tls,或者采用回落方式实现。 默认证书和忽略证书校验有中间人攻击风险,建议后续完善。 另外原版NPS已经有tls加密传输了,为什么要新实现一个?
## 加密传输 如果公司内网防火墙对外网访问进行了流量识别与屏蔽,例如禁止了ssh协议等,通过设置 配置文件,将服务端与客户端之间的通信内容加密传输,将会有效防止流量被拦截。 - nps现在默认每次启动时随机生成tls证书,用于加密传输
原版nps 的 tls 只加密了传输内容,客户端与服务端建立的连接并没有使用tls。 兼容旧版客户端改动比较大,如果有需要可以自己fork一份代码改造一下
XINJIAWEI commented
的确没有兼容旧版本客户端啊, 得自己想办法了