sslmitm与javaapplet

我目前正在从事一个项目，该项目涉及在客户端（浏览器）上构建一个数字堡垒，以抵御对SSL PKI基础设施的中间人攻击。虽然有很多可能在SSL连接上安装中间人攻击，但我想重点讨论PKI基础设施的问题，同时也要考虑系统的性能

在做了一点研究之后，我想我要完成以下任务

通过检查证书的有效期并检查CRL列表中是否存在证书的序列号来确定证书的有效期

禁用MD5进行证书检查

确保客户端（浏览器）连接到的服务器是真正的服务器。这可以通过一个URL或仅仅通过DNS查找来实现吗？因为我认为URL和DNS在某种程度上都不安全。我正在考虑这个网络服务器指纹的事情，但我仍然需要一个存储库来检查。我还可以使用什么

证书指纹。他们是否有任何证书哈希或指纹存储库，我可以通过它们查找证书的指纹

我还需要检查什么才能阻止中间人攻击

我打算使用嵌入浏览器中的java小程序来处理此任务，因此我知道如果没有网站的登录页面，就不可能连接到web服务器。问题是，我如何使用我的小程序嵌入页面与服务器建立测试连接，只是为了获取服务器的证书，或者更好的是，是否可以使用网站的登录页面进行连接，并在服务器发送证书后终止SSL握手，这样小程序就可以进入证书存储来检索证书证书和分析证书以防止中间人攻击

正如我所说的，我想使用java构建解决方案，因为人们普遍认为Javaapplet比javascripts更快。而且浏览器扩展主要依赖于平台，而java小程序则不依赖于平台。这能成为一个性能标准吗

通过检查证书的有效期并检查CRL列表中是否存在证书的序列号来确定证书的有效期

---

浏览器已经做到了这一点

禁用MD5进行证书检查

---

为什么?？如果证书有MD5哈希，则必须检查它。如何消除这一点减轻MITM攻击！这没有道理

确保客户端（浏览器）连接到的服务器是真正的服务器

---

浏览器已经做到了这一点。它内置于HTTPS协议中

这可以通过一个URL或仅仅通过DNS查找来实现吗？因为我认为URL和DNS在某种程度上都不安全

不，不，不，不

我正在考虑这个网络服务器指纹的事情，但我仍然需要一个存储库来检查。我还能用什么

你问的一开始就没有意义

证书指纹。他们是否有任何证书哈希或指纹存储库，我可以信任他们查找证书的指纹

呃，MD5散列（如果有的话）是您正忙于绕过的，而数字签名已经完成了这一点

---

在浏览器中使用小程序来保护浏览器的建议也没有意义。我认为您得到了一个无问题的解决方案，许多相互矛盾的、有时甚至是毫无意义的需求，以及许多关于如何实施这些需求的糟糕建议。

为什么？如果证书有MD5哈希，则必须检查它。如何消除这一点减轻MITM攻击！这没有道理。MD5上的冲突攻击允许攻击者生成完全相同的哈希值，稍后可以将其附加到具有不同域名的证书上。换句话说，攻击者可以模拟根CA并开始颁发证书。我只希望为证书检查启用SHA2。浏览器已经这样做了。它内置于HTTPS协议中。如果这是正确的，那么为什么SSL钓鱼攻击是可能的。如果我能愚弄一个用户点击一个看起来像“barclay.co.uk”而不是“barclays.co.uk”的URL，那么我就破坏了这个系统，因为用户会认为他实际上在连接服务器，所以需要知道你连接的服务器至关重要。众所周知，DNS和URL不可靠，无法确定服务器的身份，这也是我考虑对web服务器进行指纹识别以创建唯一身份的原因。建议在浏览器中使用小程序来保护浏览器也没有意义。我认为你已经得到了一个没有问题的，很多相互矛盾的，在某些情况下没有意义的需求，以及很多关于如何实现它的糟糕建议。小程序不会保护浏览器，它会在收到证书时检查所有列出的任务。由于性能原因，我正在尝试使用aplet。所以，我想问的是，使用applet是否是一个好的解决方案，它是否比使用扩展更快。（1）你不需要引用我已经说过的话。（2） SSL网络钓鱼攻击是可能的，因为用户没有检查他所连接的网站是否不是他所期望的。这是人的问题，不是技术问题，也不是软件可以解决的问题。（3） 你的问题中没有提到“对Web服务器进行指纹识别”。（4） 如果它不起作用，那么性能是100%无关的。你无法衡量一个不起作用的解决方案的性能。我真的很抱歉我提出问题的方式，它很模糊，可能是因为我是一个初学者。您知道，当浏览器试图在SSL握手中通过SSL与服务器通信时，我会从服务器获得一个证书，该证书由证书颁发机构认证。这意味着为了安全通信的存在，我完全信任我的CA