Non sono sicuro che sia stata posta una domanda simile (non sono riuscito a trovarla), ma è possibile proteggere Client/Server dall'attacco Man-In-The-Middle?È possibile prevenire attacchi man-in-the-middle quando si utilizzano certificati autofirmati?
Sto scrivendo un'applicazione client per comunicare con il server. La comunicazione sarà basata su SSLv3. Sono d'accordo con i certificati autofirmati del server, ma preoccupato che qualcun altro generi lo stesso certificato autofirmato nello stesso nome del server e finga di esserlo. L'applicazione del mio cliente utilizza la libreria OpenSSL. [Client e Server sono basati sulla parsimonia, se fa alcuna differenza]. Posso evitare tale attacco mantenendo allo stesso tempo il supporto per i certificati autofirmati?
Se l'applicazione non deve essere compatibile con client/server esistenti, è possibile andare direttamente a TLS 1.x (il più alto supportato dalle librerie) e saltare SSL 3.0 se è possibile. – Bruno
@Bruno Grazie. Non posso andare per TLS per ora. Il server utilizza SSLv3. –