0

我正在开发一个应用程序,它使用 NodeJS(除其他外)从主网站下载一些未加密的 PDF 报告。这些资源是非常机密的,所以我需要确保流量是安全的。

因此,据我了解,我需要从受信任的 CA 购买和安装 SSL 证书,并https.request(...)在 NodeJS 中使用来下载 PDF 文件。但是我不知道如何确保主机文件没有被篡改,或者没有持续的 MITM 攻击,甚至证书仍然有效,没有过期并且是它必须的。我该怎么做呢?有配置参数吗?

如果有人可以解释是什么阻止了攻击者自己购买 SSL 证书,托管与原始站点的外部 IP 相同 IP 的本地服务器,并篡改 DNS 的目标以欺骗用户,那么奖励是什么?

4

1 回答 1

0

这个想法是你打开 SSL 连接,检查对等证书,只有当它没有过期,是你期望的,等等,你才继续。一旦你很高兴你正在与你应该与之交谈的人交谈,SSL 就提供了针对重播、中间人等的安全性。HTTPS 通过坚持证书主题匹配为你做了一些事情您连接的主机名。但大部分都取决于你。

于 2012-06-17T11:03:08.657 回答