关于 TLS『Hash 认证』的安全性的疑问

查看 86|回复 2
作者:MFWT   
『 Hash 认证』这个名字是我起的,可能不太准确,具体定义是:
[ol]
  • 服务端使用自签名证书,客户端忽略『一般意义上的』证书验证
  • 通过预共享的方式,让客户端知晓服务器证书的 Hash 或其他特征值
  • 建立连接时,客户端校验服务端送来的证书的 Hash ,确定『是这个证书没错』
    [/ol]
    那么,在这样的情况下(不考虑更换证书什么的导致这个预共享的 Hash 需要一起更换,这是后话了),此时建立的 TLS 连接加密是没有问题的,但是是否还能做到『验证对端』这个功能呢?

    Hash, 证书, TLS, 客户端

  • joesonw   
    浏览器都内置了几个 CA 的证书用来校验服务器证书的。你自签的也是这个思路,系统安装你这个证书,或者其 CA
    Herobs   
    这个叫做证书 fingerprint ,相当于忽略了 CA 体系,当然可以验证对方的真实性,理论上更安全。
    您需要登录后才可以回帖 登录 | 立即注册

    返回顶部