現在、SSL の PKI インフラストラクチャに対する中間者攻撃を緩和するために、クライアント側 (ブラウザ) にデジタル要塞を構築するプロジェクトに取り組んでいます。SSL 接続に中間者攻撃を仕掛ける可能性は数多くありますが、ここでは PKI インフラストラクチャの問題に焦点を当て、システムのパフォーマンスも考慮に入れるつもりです。
少しの調査を行った後、これらは次のタスクであり、私が達成しようとしていると思います
- 証明書の有効期間を確認し、証明書のシリアル番号が CRL リストに存在するかどうかを確認して、証明書の有効期間を確認する
- 証明書チェックのための MD5 の無効化
- クライアント(ブラウザ)が接続しているサーバーが実サーバーであることを確認します。これは、URL によって、または単に DNS ルックアップを行うことによって達成できますか? URL と DNS の両方がある程度保護されていないと思うからです。この Web サーバーのフィンガープリンティングのことを考えていますが、まだチェックするリポジトリが必要です。他に何が使えますか??
- 証明書の指紋。それらは、証明書のフィンガープリントを検索できると信頼されている証明書ハッシュまたはフィンガープリント リポジトリですか??.
中間者攻撃を阻止するために、他に何を確認する必要がありますか??
ブラウザに埋め込まれた Java アプレットを使用してこのタスクを処理するつもりなので、Web サイトのログイン ページがないと Web サーバーに接続できないことがわかっています。問題は、サーバーの証明書を取得するためだけにアプレット埋め込みページを使用してサーバーへのテスト接続を行う方法です。または、サーバーが証明書を送信した後に Web サイトのログイン ページを使用して接続し、SSL ハンドシェイクを終了することもできます。そのため、アプレットは証明書ストアにアクセスして証明書を取得し、証明書を分析して中間者攻撃から保護します。
私が言ったように、Java アプレットは JavaScript よりも高速であると広く推測されているため、Java を使用してソリューションを構築したいと考えています。また、ブラウザの拡張機能はほとんどがプラットフォームに依存しますが、これは Java アプレットの場合には当てはまりません。これはパフォーマンスの尺度になるでしょうか??