关于 SSL 中间人攻击问题

我现在有一个应用用 python ssl 模块来加密服务端客户端之间的数据

当客户端通过 ip 来连接服务器后，首先获取到服务器证书（服务端证书是用的自签名证书），然后使用这个证书来与服务器通信，现在的问题是：

在客户端获取证书和数据传输过程能被中间人攻击么，如果可以，执行中间人攻击的难度有多大？是在哪个阶段被替换证书的？
对于进行中间人攻击来说，直接 ip 访问和 https 访问有什么不一样的地方么？

==以上相关证书都为自签名证书==

yxwzaxns

2017-05-06 22:50:24 +08:00

@lianz 验证证书是要做的，我就是想知道直接通过 ip 访问的话，这个中间人攻击怎么进行的

yxwzaxns

2017-05-06 22:52:03 +08:00

@billlee 能具体说一下为什么没有难度和区别么？或者能给个相关资料链接，十分感谢

ahhui

2017-05-06 23:49:49 +08:00

1. 能。ISP 可以。在请求发起的时候就可以完成劫持。
2. 没有不同的地方。关键问题是你如何鉴定服务器发来的证书合法性。

基于 ip 的劫持太简单了，通讯链路上的任何路由设备都可以。anycast 技术也可以做到。

ISP 会重点劫持自签证书。务必购买 ca 证书。实在买不了，你的客户端需要硬编码自签证书的指纹和 hash，以便在发送数据之前校验证书。

ZeroClover

2017-05-07 06:23:04 +08:00

SSL/TLS 机制本来就是逐层验证证书的签发机构是否为可信根，如果你直接使用了自签，那么除非你在程序内内置证书的指纹，否则验证机制就无法实现了。

某些实在无法使用第三方 CA 证书的环节（比如内网 IP 或者内部地址），建议自建 CA，然后用自建的 CA 来进行二级或者三级证书的签发，然后在客户端把自建 CA 作为可信根，这样验证证书链的方式要方便一些，不需要写死在程序内

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/359609

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.