在移动设备中存在称为证书固定的概念,其中开发人员不信任任何证书颁发机构,而是将公共证书存储在移动设备上。如果有人要获得公共证书的访问权限,他们可以在我的服务器上进行中间攻击吗?他们不能与我的https服务器通信吗?
答案 0 :(得分:1)
没有。他们无法证明他们拥有他们发送的SSL证书,除非他们拥有私钥。
答案 1 :(得分:0)
如果有人要获得公共证书,那么他们可以在我的服务器上进行中间攻击吗?
没有。会话密钥解密需要相应私钥的保留。这是非对称密码学的关键点。使用公钥加密数据时,使用此密钥无法解密。必须使用关联的私钥来解密数据。只要您保密您的私钥,它就是安全的。