Myślę, że ludzie tutaj nie rozumieją pytania:
Jeśli masz niebezpieczną linię i tworzysz udane połączenie SSH / SSL przez tę linię, teraz pyta, czy można bezpiecznie założyć założenie że linia jest „bezpieczna” i że niezaszyfrowane dane mogą być przekazywane RAZEM z zaszyfrowanym połączeniem (np. na widoku, a nie wewnątrz zaszyfrowanego połączenia SSL / SSH).
Powiedziałbym nie. W takim przypadku może istnieć pasywny podsłuchiwacz, który po prostu ignoruje zaszyfrowane dane i zapisuje niezaszyfrowane dane.
ALE możesz być pewien, że nie ma aktywnego podsłuchiwacza (MITM), co oznacza, że możesz bezpiecznie ustanowić nieuwierzytelniony SSL / Połączenie SSH z tym samym źródłem / miejscem docelowym, co uwierzytelniona linia. To zapewnia, że nie ma selektywnego podsłuchiwania, który MITM ma określone złącza, ALE podsłuchujący nie może wiedzieć, czy zamierzasz uwierzytelnić połączenie, czy nie, więc nie może wiedzieć, które połączenie z MITM ma uniknąć wykrycia. MITMer zrobiłby, gdyby miał MITM, MITM wszystkie połączenia i miał nadzieję, że ludzie po prostu klikną wszystkie okna dialogowe uwierzytelniania.
Zatem: Jeśli łączysz się uwierzytelniony z usługą SSL od, powiedzmy, 123.123.123.123 do 24.24.24.24, można również bezpiecznie podłączyć klienta SSH od 123.123.123.123 do 24.24.24.24 bez wzajemnego uwierzytelniania odcisku palca SSH, pod warunkiem, że możesz ufać wszystkiemu za routerem NAT lub zaporą ogniową drugiej strony.
Ale nawet jeśli to ogólnie oznacza bezpieczne , istnieje niewielkie ryzyko, że podsłuchiwacz po prostu losowo połączy MITM i ma nadzieję, że nie zostanie wykryty, więc skoro masz już uwierzytelnione połączenie z docelowym adresem IP, dlaczego nie użyć tego uwierzytelnionego połączenia do wzajemnej weryfikacji odcisku palca SSH? To proste, jak opublikowanie prawidłowego odcisku palca SSH na zabezpieczonej stronie SSL!