我正在通过HTTPS从iOS应用程序与我的服务器通信,并希望加强它以减轻中间人攻击中的人的风险 . 哪个是最好的X.509字段来验证检测MITM攻击?
验证证书的序列号和发行人签名是否最有效?当然,假设我的发行人不与夏娃发生冲突,并且Eve没有窃取我的发行人的签名密钥 . 自我签署将消除第一个威胁 .
验证证书的主题和发行人签名是否几乎同样安全,但是我是否可以灵活地续订证书?
攻击者可以颁发与您的所有相同字段的证书 . 因此,检查它的唯一方法 - 检查指纹(即存储在证书中的公钥的哈希)或检查整个证书链(如果您使用的是授权签名证书) . 但是,第一种方法没有灵活性,以便在证书被盗/撤销时快速重新颁发证书 .
1 回答
攻击者可以颁发与您的所有相同字段的证书 . 因此,检查它的唯一方法 - 检查指纹(即存储在证书中的公钥的哈希)或检查整个证书链(如果您使用的是授权签名证书) . 但是,第一种方法没有灵活性,以便在证书被盗/撤销时快速重新颁发证书 .