Das kannst du nicht.
Es gibt keine sichere Möglichkeit, es zu übertragen, wenn Sie den Server nicht authentifizieren und keinen sicheren Kanal einrichten können. Wenn Sie den Server nicht authentifizieren können, können Sie nicht sicher sein, ob Sie mit dem Server oder dem Angreifer sprechen. Selbst wenn Sie TLS verwenden, um einen sicheren Kanal einzurichten, schützt es Sie überhaupt nicht, da Sie möglicherweise mit dem Angreifer sprechen, während Sie denken, dass Sie mit dem Server sprechen.
Das Zertifikat ist unerlässlich . Ohne diesen oder einige Kenntnisse des öffentlichen Schlüssels des Servers können Sie nicht sicher sein, dass Sie wirklich mit dem Server kommunizieren, da ein Angreifer als Mann in der Mitte zwischen Ihnen und dem Server fungieren könnte.
TLS verwendet Diffie-Hellman für den Schlüsselaustausch. Wenn Sie sich den Abschnitt Sicherheit auf der Wikipedia-Seite ansehen, finden Sie den folgenden Angriff, für den Sie genau anfällig sind.
In der ursprünglichen Beschreibung ist der Diffie –Hellman-Austausch allein bietet keine Authentifizierung der kommunizierenden Parteien und ist daher anfällig für einen Man-in-the-Middle-Angriff. Mallory kann zwei unterschiedliche Schlüsselaustausche einrichten, einen mit Alice und einen mit Bob, die sich effektiv als Alice für Bob tarnen, und umgekehrt, sodass sie die zwischen ihnen übertragenen Nachrichten entschlüsseln und dann erneut verschlüsseln kann.
Fazit
Sie benötigen ein gültiges Zertifikat, um den Server authentifizieren zu können. Andernfalls sind Sie im mittleren Angriff für Menschen anfällig. Eine einfache Möglichkeit, dies zu erreichen, besteht darin, das Serverzertifikat in Ihre Anwendung aufzunehmen, das auch als Anheften von Zertifikaten bezeichnet wird.