HTTPS는 "보안이 충분한"클라이언트/서버 통신 보안 방법으로 사용됩니까?

Question

애플리케이션 개발중인 서버 측 인증을 개발하고 있습니다. 통신은 보안 채널을 통해 수행됩니다 (본인의 경우 HTTPS, 유효한 SSL 인증서 사용). 나는 원격 서버가 정확히 그가 누구라고 주장 하는지를 확인할 무언가를 구현할 계획이다.

클라이언트 측 보호가 깨지기 쉽지 않다는 것을 알고 있습니다. 특히 충분한 시간과 지식이 있어야합니다. 그러나 위에서 설명한 내용을 구현하면 은 전송 중에 변조되거나 중간자 공격을 방지하고 유효성을 보장하기 위해 데이터가 변조되지 않도록 "충분히 안전"한 보안 접근 방식입니다.

(개인/공개 키 쌍을 사용하여) 전송 된 데이터 주변에 다른 보안 계층을 추가 할 것을 고려하고 있지만, 바퀴를 다시 만들지 않고도 SSL에 의존하는 것으로 충분할 것으로 생각됩니다.

Answer 1

SSL은 ... 유효한 인증서 충분히 안전하지만

잘못된 인증서 오류가 발생하는 것은 귀하의 데이터, 아마도 누군가에 의해 차단 될 것입니다 "를 의미 어떤 것을 많은 사람들이 모르는

그밖에". 그들은 경고를 무시하고 중간자 공격은 여전히 ​​효과가있을 것입니다. 또한 IE6과 같은 일부 구형 브라우저는 인증서가 유효하지 않은 경우 경고를 표시하지 않을 수도 있습니다. 이 경우 문제는 사용 된 기술이 아닌 사용자가됩니다. 즉, 다른 보안 계층을 구축하는 대신 응용 프로그램을 사용하는 사람들에게 잘못된 인증서 오류를 얻는 것이 무엇을 의미하는지, 왜 현대적인 브라우저를 사용해야하는지 가르쳐야합니다.

Answer 2

Mr. B, 클라이언트가 서버 SSL 인증서의 유효성을 검사하고 사용자가 프로세스에 참여하지 않는다고 언급 했으므로 서버 SSL 인증서의 유효성을 검사하는 것이 좋습니다. 그러나 검증 프로세스를 잘 관리해야합니다. 인증서를 충분히 검증하지 못하는 몇 가지 클라이언트 응용 프로그램을 보았습니다. 1) 인증 권한 2) 기간 3) 에 발행 된 사이트 내가 테스트 한 응용 프로그램 중 하나는 인증서의 "CN"을 확인하는 버그였습니다. 스푸핑 (임의의 CN으로 가짜 인증서를 만들 수 있음)