安装SSL证书但仍暴露于中间人攻击

我已经为我的域安装了SSL证书（comodo PositiveSSL），并强制NGINX仅使用HTTPS

我在SSL analyzer上运行测试

我们有针对Android和IOS的移动应用程序，可以从我们的网络服务获取一些数据。 因此，我在android上安装了PacketCapture移动应用程序，以验证webservice api和我们的移动应用程序之间传输的数据是否安全

首先，我尝试在数据包捕获移动应用程序中启用以下功能：-

他们说：“我已经联系了comodo ssl支持部门。”

证书安装良好，工作正常。有 证书和安装过程以及 网站也完全用绿垫保护 锁定它

我在instagram应用程序上运行了相同的测试，当打开instagram时，显示网络错误。就像instagram通过某种方式发现我试图捕获网络数据包，这样他们的应用程序网络将被禁用。 我想和instagram做的一样

---

请提供建议。

看看证书颁发机构（CA）的工作原理。在您的情况下，发生的情况是数据包捕获移动应用程序安装了自己的CA。现在数据包捕获成为您设备的受信任CA，并且接受他们签署的证书。然后，该应用程序创建自己的证书example.com并签名

这样，当执行中间人攻击时，客户端（应用程序）与包捕获而不是ExpLo.com通信，但是您的应用程序相信它与ExpLo.com通信，因为包捕获所提供的证书是由可信CA（包捕获CA本身）签名的。

---

因此，这仅在您安装其CA时起作用。但是，在数据包捕获和example.com之间建立了安全连接。不要担心，如果您的证书有效并且包含正确的域名，那么您已经完成了所需的所有操作

“中间人攻击”是对客户的攻击。

客户端认为攻击者通过破坏其DNS来攻击该网站 然后，攻击者中继来自/到真实服务器的进出流量

服务器是安全的，但客户端不是

正如RamKumar所说，客户端需要像您一样信任攻击者证书

编辑：

您还可以将TLS与相互身份验证（MTL）一起使用。 使用此协议，客户端和服务器交换证书公钥。 其工作如下：

客户端请求访问受保护的资源

服务器向客户机出示其证书

客户端验证服务器的证书

如果成功，客户端将其证书发送到服务器

服务器验证客户端的凭据

如果成功，服务器将授予对客户端请求的受保护资源的访问权限

一些示例：

使用该协议，中间人攻击仍然是可能的，但是攻击者的证书需要客户端和服务器

的信任。

---

另一种自定义方法是使用非对称密码添加另一层加密

要消除这种可能性，您可以使用证书固定来确保仅使用您使用的特定证书来阻止设备使用任何其他证书，即使该证书是从受信任的CA签署的。用户可能仍然可以绕过此问题，但现在他必须修改应用程序本身以禁用检查，或者更改固定的证书

有什么问题？你可能会成为“中间人”攻击的受害者？@Mumrah81我不是这方面的专家，但正如你所看到的，我正在使用第三方应用程序捕获网络数据包，我能够看到HTTP请求发送的数据和接收到的数据，当我尝试安装其他应用程序时，我看不到任何数据。我怎样才能保证这一点呢？你已经明确地通过在中间攻击中做一个活跃的人来启用SSL解密。在中，您已使手机信任为SSL拦截创建的证书。在这种情况下，您可以看到未加密的通信量，因为它是由数据包捕获应用程序解密的。我建议您首先了解在数据包捕获应用程序中配置的内容，然后再抱怨SSL没有提供您所期望的保护。@SteffenUllrich如何保护我的数据不被数据包捕获应用程序解密？@user2873860:我想您不明白这个问题。您对数据包捕获应用程序的操作不是由不受信任的攻击者进行的攻击，而是由明确受信任的人进行的拦截。这不是网络中某个地方的坏攻击者，更像是有人坐在你身边，在你冲浪时看着你的屏幕，你明确接受了这一点。我对其他安装的应用程序（如instagram和其他应用程序）进行了相同的测试，我信任数据包捕获应用程序安装的SSL证书，但我无法看到instagram应用程序本身发送和发送的数据，我想说instagram使用带有双向身份验证的TLS，但监控应用程序不支持它。你能解释一下如何实现这种方式吗？

Validation Type Domain Validated (DV)
Trusted by Microsoft?   Yes 
Trusted by Mozilla? Yes