关于如何处理使用Java的自签名证书并经常提供实现,已经问了很多次问题。但是,我不确定这些实现是否会给我所需的安全/信任。需要关于自签名SSL和Java的建议
我的情况如下:我有一个客户端程序连接到我们的服务器应用程序。这两个我们都有完全的控制权。我们的客户帖子使用https到我们的服务器的URL,并且服务器响应。目前(这正是我想解决的问题)服务器有一个自签名证书。 Java并不喜欢这种情况,并且仅仅用于测试,我们几乎完全忽视了任何证书的认证。
我对SSL有一点了解。我的老板说我们可以使用我们的自签名证书,只要我们不加密,它就会安全。关键公众。这听起来对我来说是正确的,但很多帖子都说自签名证书会自动容易受到中间人攻击。这是否意味着SSL发送crypt。钥匙连同证书?
既然我们对两端都有控制权,那么我们是否应该用密钥对自己的数据进行加密,然后用密钥对它进行解密?还是有理由使用SSL?
不是这方面的专家,但我相信如果您从证书中请求特定的公钥(而不是相信自签名或由特定发行者签署),您可以避免中间人攻击。 – antlersoft 2012-08-15 22:11:21