这可能听起来很奇怪,但如果您能纠正我并提供正确的解决方案,请这样做。
我听说 Ettercap 可以嗅探 HTTPS 开放加密密钥和用户数据。那么,如何让具有丰富互联网应用程序的服务器在 HTTPS 下更安全?也许用户手动设置给定的客户端证书会更好?这听起来对用户来说不太舒服。
所以,如果你知道更好的解决方案,那会很有趣。如果没有,请告诉我:如何强制 Nginx 只检查用户是否拥有客户端证书,而不是将其提供给他?
答案1
不存在这样的事。只要你的私钥是安全的,别人就无法嗅探你的 SSL 连接。
更新:只有当有人在客户端计算机中插入恶意 CA 时,MITM 才有可能。但如果是这种情况,它不需要嗅探网络,因为它可以在加密之前在机器本身上进行嗅探。
答案2
听说Ettercap可以嗅探HTTPS开放加密密钥和用户的数据
...我听说在月球上发现了一架 B52 轰炸机——但这不是真的。
它可以对 SSL 执行 MITM 攻击 - 但需要污染客户端 CA 存储。它还可以解码 SSL 流量如果它有私钥。
如果用户手动设置给定的证书会更好
我不懂这啥意思。
如何强制 Nginx 仅检查用户是否拥有证书
您是指客户端证书吗?