我正在开发一个使用NodeJS的应用程序(除其他外)从主网站下载一些未加密的PDF报告。这些资源非常机密,因此我需要确保流量安全。
根据我的理解,我需要从受信任的CA购买并安装SSL证书,并使用NodeJS中的https.request(...)
下载PDF文件。但我不知道如何确保主机文件没有被篡改,或者没有正在进行的MITM攻击,甚至证书仍然有效,没有过期且是必须的。我该怎么做呢?有没有配置参数?
如果有人能够解释阻止攻击者自己购买SSL证书的原因,托管与原始站点的外部IP具有相同IP的本地服务器,并篡改DNS目标以欺骗用户,那么可以获得奖励吗?
答案 0 :(得分:0)
这个想法是你打开SSL连接,检查对等证书,只有当它没有过期,是你期望的那个,等等,你继续。一旦你对与你应该与之交谈的人交谈感到高兴,SSL会提供安全防范重放,中间人等等。通过坚持证书主题匹配,HTTP会为你做一点点帮助您连接的主机名。但大部分都取决于你。