SSL和Man在中间进攻

我感觉自签名证书在中间人攻击中构成了人的风险,因为中间人可以向客户呈现不同的自签名证书。 我的问题如下。

如果我在服务器上使用自签名证书(使用SelfSSL)并且在运行ssl页面时(它是管理页面而不是公众),浏览器会给我一个警告,我会将自签名证书安装在受信任(假设这个请求不被中间人拦截),那么在中间人攻击中会有什么风险。 对于我的测试,我所做的是更改服务器上的证书,使所有参数保持不变,并创建了不同的指纹和浏览器,然后在运行ssl页面时再次发出警告。 这意味着如果有人更改了证书,我将收到警告,表明证书已从我添加到可信存储的证书中更改。 我在做什么有缺陷? 我不想为我自己的一页购买任何SSL。


是,; 这将工作正常。

只要浏览器可以验证您是否拥有正确的自签名证书,您就可以。

但是,如果您在首次连接期间因信任证书而收到MITM攻击,则会遇到很大麻烦。 (因为你最终会信任攻击者的证书而不是你自己的证书)


从你的帖子中不清楚,如果只有一个用户(你自己)在这个网络应用程序,否则...

你不只是训练你的用户忽略浏览器安全警告? 那么,当有人试图在MITM攻击期间注入新证书时,他们不会忽视警告? 你希望他们忽略第一个警告,但如果他们稍后再发出警告,他们应该知道这是一个问题?

用户并不那么复杂。 使用自签名SSL基本上是说你不关心你的用户安全。

链接地址: http://www.djcxy.com/p/21753.html

上一篇: SSL and Man in the middle attack

下一篇: How are ssl certificates verified?