1

iOSアプリからHTTPS経由でサーバーと通信していますが、中間者攻撃のリスクを軽減するためにサーバーを少し強化したいと思います。MITM攻撃を検出するために検証するのに最適なX.509フィールドはどれですか?

証明書のシリアル番号と発行者の署名を確認するのが最も効果的でしょうか?もちろん、私の発行者がイブと警戒しておらず、イブが私の発行者の署名キーを盗んでいないと仮定します。自己署名は最初の脅威を排除します。

証明書の件名と発行者の署名を確認することはほぼ同じくらい安全ですか?しかし、証明書を更新できる柔軟性を私に残しますか?

4

1 に答える 1

2

攻撃者は、あなたのフィールドと同じフィールドすべてで証明書を発行できます。したがって、それをチェックする唯一の方法は、指紋(つまり、証明書に格納されている公開鍵のハッシュ)をチェックするか、証明書チェーン全体をチェックする(権限署名付き証明書を使用している場合)ことです。ただし、最初のアプローチには、証明書が盗まれたり取り消されたりした場合に証明書をすばやく再発行する柔軟性がありません。

于 2012-12-10T10:33:42.780 に答える