针对 MITM 验证 SSL 证书

Question

我正在通过 HTTPS 从 iOS 应用程序与我的服务器进行通信，并且希望稍微加强它以降低中间人攻击的风险。验证以检测 MITM 攻击的最佳 X.509 字段是哪些？

验证证书的序列号和颁发者签名是否最有效？当然，假设我的发行人没有与 Eve 勾结，并且 Eve 没有窃取我的发行人的签名密钥。自签名将消除第一个威胁。

验证证书的主题和颁发者签名是否几乎一样安全，但让我能够灵活地续订证书？

Answer 1

攻击者可以颁发与您的所有相同字段的证书。 所以检查它的唯一方法 - 检查指纹（即存储在证书中的公钥的哈希）或检查整个证书链（如果您使用的是权威签名证书）。 但是，第一种方法不具备在证书被盗/撤销时快速重新颁发证书的灵活性。