Olá pessoal!
Tenho uma página de login no meu site. Gostaria de ter a segurança do RSA na hora de passar a senha, pois ela está sendo passada “a claro”(sem encriptação) quando a mando pelo método POST. Ou seja, qualquer um que estiver sniffando a rede poderá ver a senha.
Uma solução seria simplesmente configurar o https. O problema é que eu não tenho um certificado feito por uma autoridade certificadora. Eu poderia fazer simplesmente um certificado genérico (que é o que a maioria das pessoas fazem), porém, toda vez que o browser for acessar a página de login, aparece aquela mensagem que “o certificado não foi reconhecido, deseja confiar assim mesmo, blablabla”. Eu NÃO quero isso!
Resumindo:
- Quero criar uma nova chave pública (e sua respectiva privada) no servidor, em cada nova requisição da página de login
- Passar a chave pública junto com o formulário (página) de login
- Encriptar com a chave pública passada (no cliente, claro) a senha que o usuário digitar e mandar essa senha encriptada para um JSP
- O JSP então desencripta a senha com sua chave privada
- Com a senha em mãos, eu apenas a compara no banco de dados e vejo se o usuário é ou não cadastrado no sistema.
As minhas dúvidas estão nos itens 1, 2 e 3. O resto fica fácil.
Muito obrigado!!!