MITM에 대한 SSL 인증서 확인

Question

HTTPS를 통해 iOS 앱에서 내 서버와 통신 중이며 중간 공격에서 사람의 위험을 완화하기 위해 조금 강화하려고합니다. MITM 공격을 탐지하는 데 가장 적합한 X.509 필드는 무엇입니까?

인증서의 일련 번호와 발급자 서명을 확인하는 것이 가장 효과적입니까? 물론 이슈가 내 이슈와 관련이 없으며 이브가 내 이슈의 서명 키를 도용하지 않았다고 가정합니다. 자체 서명은 첫 번째 위협을 제거합니다.

인증서의 제목과 발급자 서명이 거의 안전하다는 것을 확인하지만 인증서를 갱신 할 수있는 유연성을 남겨 둡니까?

Answer 1

공격자는 당신과 동일한 필드를 가진 인증서를 발급 할 수 있습니다. 지문 (즉, 인증서에 저장된 공개 키의 해시)을 확인하거나 인증서 서명 체인 전체를 확인하는 유일한 방법 (인증 서명 인증서를 사용하는 경우). 그러나 첫 번째 방법은 인증서를 도난 당하거나 취소 한 경우 신속하게 재발급 할 수있는 유연성이 없습니다.