我们将 coturn 与 Matrix Synapse 和 Riot 客户端结合使用。我们是否需要在 coturn 配置中使用 cert 和 pkey 或者 WebRTC 已经完全完成加密?
从 coturn Github 页面上的this对话来看,只要您的信号层是安全的,就不需要强制 DTLS。媒体已经加密,加密密钥在信令层共享:
不,即使与 TURN 服务器的连接未加密,WebRTC 数据也不会受到损害。 WebRTC 中的密钥交换是在不同的层(通常称为信令层)上完成的,信令层需要加密并确保安全,以防止窥探或 MITM 攻击。 TURN 服务器只是一个中继,它不了解或洞察 WebRTC 对等点之间来回发送的数据;它看到的只是来自客户端 A 的数据包,需要发送到客户端 B。如果有人能够嗅探 TURN 流量,则存在 IP/会话数据泄漏的可能性,但老实说,如果参与者能够这样做,无论如何,他们都能够看到所有流量的源 IP 和目标 IP,因此加密 TURN 流量不会给你带来任何好处。 根据我的经验,需要与 TURN 服务器进行加密连接是因为特定客户端网络上的代理/防火墙规则,而不是因为 TURN 服务器上存在 MITM 风险。如果您的配置在没有 (D)TLS 到 TURN 服务器的情况下工作,则没有理由强制执行它。 TL;DR 使您的信令层加密且安全,除非您确实需要,否则不要在 TURN 服务器上使用 (D)TLS。
还有对 WebRTC 规范的参考 (https://www.w3.org/TR/webrtc/#privacy-and-security-considerations)。