我使用 jMeter 代理来检查来自我的 iPhone 的 SSL 流量,方法是在 iPhone 上安装 jMeter 证书,然后在手机上配置我的 wifi 以使用 jMeter 代理。
如果我想阻止针对特定网站/服务器的 MITM 嗅探,我可以在该服务器上强制执行 TLS 1.2 吗?
如果全面强制执行 TLS1.2,是否真的可以防止这种 MITM 嗅探?
答案1
如果客户端检查其是否获得了预期的证书,则可以防止中间人攻击。这称为证书或公钥固定。这不是任何 TLS 版本(包括 TLS 1.2)的功能,但必须在客户端中明确实现。有关更多信息和示例代码,请参阅OWASP:证书和公钥固定。