OpenSSL вопросец

[rpy3uH]

Цитата:

Сообщение от predefined

Это если бы там не вмешивались сторонние сервисы подтверждения сертификатов.

Ибо, владея таким сервисом и имея контроль провайдерами, этот "end-to-end" легко превращается в "end-middle-end", а "конечные стороны" об этом даже не догадываются.

Захардкодь сертификат сервера в клиента и если сервер при коннекте даёт какой-то другой сертификат, то сервер поддельный. Вот тебе и End-To-End. Никакой MitM - не страшен

[p51x]

Гуглим certificate pinning...

[predefined]

Цитата:

Сообщение от rpy3uH

Захардкодь сертификат сервера в клиента и если сервер при коннекте даёт какой-то другой сертификат, то сервер поддельный. Вот тебе и End-To-End. Никакой MitM - не страшен

Производители браузеров именно так и делают - в них встроены корневые сертификаты всех доверенных центров сертификации.

Об этом свидетельствует последний скандал Mozilla и центра сертификации WoSign. WoSign, в связи с покупкой центра сертификации StartCom, должен был уведомить Мозиллу, но не сделал этого. Плюс, WoSign был уличён в выдаче сертификатов "задним числом".

В итоге браузеры Мозилла не будут доверять сертификатам от WoSign минимум на 1 год(это если WoSign выполнит все условия по реабилитации).

Эппл аналогично отреагировал на инцидент: Apple products will no longer trust the WoSign CA Free SSL Certificate G2 intermediate CA.

[rpy3uH]

Цитата:

Сообщение от predefined

Производители браузеров именно так и делают - в них встроены корневые сертификаты всех доверенных центров сертификации

Я говорю про другое: у тебя есть сервер и приложение. На сервере ты сгенерил сертификат, а в клиента прописал его отпечаток. Клиент коннектится и смотрит отпечаток: если отличается, то у него mitm.