如果我在客户端validation自签名SSL证书的指纹,是否仍然会发生中间人攻击?
只有当他们能够真正地重现指纹时,这一切都要困难得多。
指纹实际上是确定证书的最可靠的方法。 几乎每个人都忽略它。
给定相同的encryption规范,自签名证书与CA颁发的证书一样“安全”。 所有相同的弱点和优势在那里。
唯一的区别是,客户通常有一个预先configuration的可信CA列表,而不会询问他们总是最初要求自签名的地方。 这听起来像你已经知道。