0
我有一個用PHP編寫的網站,我想確保我的訪問者使用我的SSL證書,我的意思是我想確保中間沒有人。我該怎麼做?如何檢查與PHP連接中使用的證書?
編輯:從POST或GET發送證書名稱的任何技巧?
編輯:或者我會送一個哈希用戶計算機,用戶計算機將散列證書名稱與一個JavaScript和比較兩者是否馬赫與否。不是最好的解決方案,但比沒有好。
A
回答
2
你不能那樣做:MitM攻擊是基於服務器和有效客戶端之間的人已經有所有有效證書的事實。因此,對於您的服務器,他的行爲與其他有效的客戶端相同
2
假設有是在中間的人,所有的信息說:「你的訪客」提供(你可能會以某種方式使用,以確定他們所使用的證書)實際上是信息的中間人提供。這意味着你不能相信它(即使沒有MITM,這也是一個很好的經驗法則)。
換句話說,這是不可能的。
另一種可以得出這個結論的方法是:如果這個是某種程度上可能的話,那麼「中間人」就不是我們今天所知的一個術語。
1
由於@喬恩和@zerkms已經說過,這是客戶的責任,檢查服務器證書。你可以確保,作爲服務器,客戶端使用已提交服務器證書的連接
一種方法是要求客戶端證書身份驗證。事實上,在與客戶端證書握手期間,TLS消息中包含了迄今爲止已交換的所有handhsake消息(包括服務器證書)的摘要簽名。如果TLS握手成功,則客戶將發送正確的簽名,可對照其證書進行驗證。
當然,從服務器的角度來看,如果你信任的客戶端證書這僅適用。
這並不能完全解決問題,特別是因爲不建議客戶端使用其證書對其無法驗證的服務器進行身份驗證(即使私鑰不會被泄露,身份該證書將被髮送給流氓黨)。
同樣,在一天結束的時候,它仍然是用戶的責任,以決定是否信任服務器的身份。
相關問題
- 1. 檢查Android套接字連接使用的SSL證書
- 2. 如何在進行連接之前檢查HTTPS證書
- 3. 如何使用PHP中的基本認證連接SQL查詢
- 4. 如何使用php pdo連接檢查mysql中的值?
- 5. 如何執行jQuery驗證兩個連接的現場(需要檢查證書)?
- 6. 如何使用Cocoa中的WebView連接客戶端證書?
- 7. 如何使用jdbc連接檢查java中的連接狀態?
- 8. 使用PHP和證書連接到FTPS作爲身份驗證
- 9. 使用服務器連接的證書
- 10. SSL連接使用Python的.pem證書
- 11. 如何檢查SqlConnection中使用的SQL Server端SSL證書?
- 12. 如何使用CRL使用與X509Chain(C#)不同的東西來檢查證書?
- 13. PHP - 檢查請求的SSL證書
- 14. 如何在grails中使用* .p12證書來建立https連接?
- 15. 使用JDBC檢查Db的證書
- 16. 如何在使用F#連接時接受SSL證書?
- 17. 如何在php中使用ssl證書連接到imap服務器?
- 18. MySqlConnectionStringBuilder - 連接證書
- 19. 如何檢查連接到php頁面
- 20. 使用X509證書連接到MongoDb
- 21. 如何使用RedBean檢查與MySQL數據庫的連接?
- 22. 使用客戶端證書建立與HTTPS的連接
- 23. 禁用證書檢查
- 24. 使用certutil檢查證書響應
- 25. Android:在做URL時繞過安全證書檢查。連接
- 26. 如何在C++中使用.net自動接受SSL連接的無效證書?
- 27. 如何離線檢查SSL證書鏈?
- 28. 檢查證書是否有效與否
- 29. 如何使用自簽名證書鏈創建鏈接證書
- 30. 如何使用p12證書連接到LDAP服務器
但是如果我訪問谷歌,如果使用受信任的CertIsrl正被在咖啡館使用摩薩德(MITM),那麼沒有人會得到任何證書錯誤消息(因爲每個人都會看到藍色線)和他們抓住我的密碼。這意味着我每次訪問Gmail時都必須點擊證書才能看到是否是Thawte諮詢公司。 – ilhan
@george:是的,但是如果證書是由任何可信的認證中心頒發的,那麼這是客戶的承諾。這與谷歌的服務器無關 - 這只是關於你的瀏覽器和Thawte – zerkms
@george:它與SO和編程有什麼關係? – zerkms