我正在通过HTTPS从iOS应用程序与我的服务器进行通信,并希望加强它以减轻中间人攻击中的人员风险。哪些是验证MITM攻击的最佳X.509字段?
验证证书的序列号和发行人签名是否最有效?当然,假设我的发行人不与夏娃发生冲突,并且Eve没有窃取我的发行人的签名密钥。自我签署将消除第一个威胁。
验证证书的主题和发行人签名是否几乎一样安全,但是我是否可以灵活地续订证书?
答案 0 :(得分:1)
攻击者可以颁发与您的所有相同字段的证书。 因此,检查它的唯一方法 - 检查指纹(即存储在证书中的公钥的哈希)或检查整个证书链(如果您使用的是授权签名证书)。 但是,第一种方法没有灵活性,可以在证书被盗/撤销时快速重新颁发证书。