Подскажите, пожалуйста ход/направление мыслей. Есть WEB-приложение на .NET, работающее под IIS — по сути набор сервисов, доступных при помощи HTTP запросов (а-ля XML-RPC, ипользуется инфраструктура ASP.NET). Используется аутентификация Kerberos, реализованная стандартными средствами ASP.NET.
Хотелось бы обеспечить шифрование трафика между клиентом и сервером. Причем SSL использовать нельзя из-за проблем с установкой сертификатов на клиенте/сервере. Ранее использовали ручное генерирование секьюрных контекстов SSPI, токенов аутентификации, и после аутентификации(добавлением заголовков HTTP Authorization, WWW-Authenticate-как по стандарту) и после этого, используя нашми же созданную пару клиентский контекст-серверный контекст, выполняли шифрование/подпись трафика. Теперь хотелось бы обойтись стандартыми средсвами, без "велосипедов". Но как это реализовать? Ведь ничего кроме токена, передающего по сети мы не знаем? Обмен симметричными/ассиметричными ключами тоже не безопасен... В каком направлениии копать?
