Certificate

一旦您接受了自簽名證書,中間人是否安全

  • January 23, 2012

我有一個具有自簽名 SSL 證書的郵件伺服器。

我使用 Thunderbird 訪問這個伺服器,它要求我接受這個證書。

所以可以說我在半安全的位置接受這個,例如在本地網路上。然後繼續使用我在 Thunderbird 電子郵件客戶端中接受的證書的不安全網路。

Thunderbird 設置為對電子郵件伺服器使用 STARTTLS。

是不是這樣,一旦這個證書被接受,就不可能做中間人攻擊了。對於使用此公共自簽名 SSL 證書的人來說,他們還需要郵件伺服器保留的私鑰嗎?

危險信號是如果 Thunderbird 有一天突然要我接受來自郵件伺服器的新證書。

如果您控制域,您應該強烈考慮獲得免費的 SSL 證書。有幾個提供免費證書。

Thunderbird 中的“接受”證書將您引用伺服器的主機名與證書的指紋配對。因此,如果不解決 DL 問題,MITM 攻擊幾乎是不可能的。這假設您選擇了一個合理的位長(現在是 2048 或 4096;儘管可以為 1024 提出參數)。

PKI 密鑰只有在您同時擁有私鑰和公鑰時才有用。是的,關於證書錯誤的新警告應始終以最敏銳的洞察力進行審查。

引用自:https://serverfault.com/questions/352758