针对 MITM 验证 SSL 证书

Posted

技术标签:

【中文标题】针对 MITM 验证 SSL 证书【英文标题】:Verifying SSL certificate against MITM 【发布时间】:2012-11-27 17:06:23 【问题描述】:

我正在通过 HTTPS 从 ios 应用程序与我的服务器进行通信,并且希望稍微加强它以降低中间人攻击的风险。验证以检测 MITM 攻击的最佳 X.509 字段是哪些?

验证证书的序列号和颁发者签名是否最有效?当然,假设我的发行人没有与 Eve 勾结,并且 Eve 没有窃取我的发行人的签名密钥。自签名将消除第一个威胁。

验证证书的主题和颁发者签名是否几乎一样安全,但让我能够灵活地续订证书?

【问题讨论】:

【参考方案1】:

攻击者可以颁发与您的所有相同字段的证书。 所以检查它的唯一方法 - 检查指纹(即存储在证书中的公钥的哈希)或检查整个证书链(如果您使用的是权威签名证书)。 但是,第一种方法不具备在证书被盗/撤销时快速重新颁发证书的灵活性。

【讨论】:

以上是关于针对 MITM 验证 SSL 证书的主要内容,如果未能解决你的问题,请参考以下文章

SSL证书审核失败的常见原因及处理方法(综合篇)

什么是通配符SSL证书?它和多域名SSL证书的区别是什么?

针对多个 CA 的 Alamofire 5 自定义 SSL 验证

怎样申请免费ssl证书

如何申请免费SSL证书?

求助delphi实现ssl验证客户端证书