SSL和Man在中间攻击
我感觉自签名证书在中间人攻击中造成了人身冒险,因为中间人可以向客户呈现不同的自签名证书。我的问题如下。SSL和Man在中间攻击
如果我在服务器上使用自签名证书(使用SelfSSL),并且在运行ssl页面时(这是一个管理页面而不是公众),浏览器会给我一个警告,我会安装自签名可信商店中的证书(假设这个请求不被中间人拦截),那么在中间人攻击中是否存在任何人的风险。对于我的测试,我所做的是更改服务器上的证书,使所有参数保持不变,并创建了不同的指纹和浏览器,然后在运行ssl页面时再次发出警告。这意味着如果有人更改了证书,我将收到警告,表明证书已从我添加到可信存储的证书中更改。我在做什么有缺陷?我不想为我自己的一页购买任何SSL。
是的;这将工作正常。
只要浏览器可以验证您的正确的自签名证书,您就可以。
但是,如果您在第一次连接期间因信任证书而收到MITM攻击,那么您遇到了很大的麻烦。 (因为你就会信任攻击者的证书,而不是你自己的)
它不是从您的帖子清楚,下面不顾是否有这个Web应用程序只有一个用户(自己),否则......
你不是在训练用户忽略浏览器安全警告吗?那么,如果有人在MITM攻击期间尝试注入新证书,他们是不会忽略警告的?你希望他们忽略第一个警告,但如果他们稍后再发出警告,他们应该知道这是一个问题?
用户并不那么复杂。使用自签名SSL基本上是说你不关心你的用户安全。
正如我所说的,它不是公开的,而是仅供我使用的管理页面 – Kumar 2012-08-07 18:37:51
确保初始证书正确的一种方法是检查其内容(特别是其公钥),如浏览器所示,对照在服务器上设置的内容。 – Bruno 2012-08-01 14:12:46
谢谢。我没有检查服务器上使用的证书的指纹是否与我信任的相同 – Kumar 2012-08-01 14:22:55