クライアントは中間者から別の自己署名証明書を提示される可能性があるため、自己署名証明書は中間者攻撃のリスクをもたらすという印象を受けています。私の質問は次のとおりです。
サーバーで(SelfSSLを使用して)自己署名証明書を使用し、sslページ(管理ページであり、公開されていない)を実行しているときに、ブラウザーから警告が表示され、信頼できる証明書に自己署名証明書をインストールします。ストア(この要求は中間者によって傍受されないと仮定します)、中間者攻撃のリスクはありますか?私のテストでは、すべてのパラメーターを同じに保ちながらサーバー上の証明書を変更すると、別の拇印が作成され、ブラウザーはsslページの実行中に警告を再度表示し始めました。つまり、誰かが証明書を変更すると、信頼できるストアに追加した証明書から証明書が変更されたことを示す警告が表示されます。私がしていることに何か欠陥はありますか?自分の1ページだけのためにsslを購入したくありません。
はい、; それはうまくいくでしょう。
ブラウザが正しい自己署名証明書を持っていることを確認できる限り、問題はありません。
ただし、証明書を信頼しているときに最初の接続中にMITM攻撃を受けた場合は、大きな問題が発生します。(自分の証明書ではなく、攻撃者の証明書を信頼することになりますので)
あなたの投稿からは明らかではありませんでした。このWebアプリのユーザーが1人だけの場合は、以下を無視してください。それ以外の場合は...
ブラウザのセキュリティ警告を無視するようにユーザーをトレーニングしているだけではありませんか?では、MITM攻撃中に誰かが新しい証明書を挿入しようとしたときに、警告を無視しないとはどういうことでしょうか。最初の警告を無視してもらいたいのですが、後で別の警告が表示された場合は、これが問題であることを知っておく必要がありますか?
ユーザーはそれほど洗練されていません。自己署名SSLを使用するということは、基本的に、ユーザーのセキュリティを気にしないということです。