Proteggi la mia app desktop con ssl

2

Ho un'app desktop che si sincronizza con un database a http://XXX.XXX.XX.XX:5984 . Ho attivato tutta la sicurezza lato server che ho a disposizione e voglio anche impostare l'app desktop per la sincronizzazione tramite SSL https://XXX.XXX.XX.XX:6984 in modo che se un utente ha l'app sul proprio laptop e si sta sincronizzando usando una connessione pubblica, i loro dati sono criptato.

L'ho configurato con un certificato autofirmato sul server e testato sulla riga di comando con quanto segue, ma ottengo questo avviso:

curl https://XXX.XX.XX.XXX:6984

More details here: http://curl.haxx.se/docs/sslcerts.html

curl performs SSL certificate verification by default, using a "bundle"
 of Certificate Authority (CA) public keys (CA certs). If the default
 bundle file isn't adequate, you can specify an alternate file
 using the --cacert option.
If this HTTPS server uses a certificate signed by a CA represented in
 the bundle, the certificate verification probably failed due to a
 problem with the certificate (it might be expired, or the name might
 not match the domain name in the URL).
If you'd like to turn off curl's verification of the certificate, use
 the -k (or --insecure) option.

Dato che sono il proprietario del server ed è un ip diretto a una porta. La disattivazione della verifica del certificato ( curl -k https://XXX.XX.XX.XXX:6984 ) significa che i miei dati verranno inviati non crittografati?

    
posta jtlindsey 17.08.2016 - 03:13
fonte

1 risposta

2

Disattivare la verifica non significa che i dati vengano inviati in chiaro. I dati verranno comunque inviati tramite HTTPS (una connessione SSL / TLS), ma la validità del certificato dal server non verrà verificata con l'autorità di certificazione che ha emesso il certificato.

Nel tuo caso, poiché hai firmato tu stesso il certificato, dovresti in effetti disabilitare il controllo di verifica. Il certificato non può essere convalidato / verificato da un'autorità di certificazione emittente, poiché il certificato non è rilasciato da un'autorità di certificazione. Ergo, dovresti disabilitare il controllo di verifica. I dati saranno comunque inviati crittografati, ma questo naturalmente presenta alcuni problemi di sicurezza, perché un aggressore MiTM intelligente potrebbe introdurre un certificato fasullo per il client da utilizzare. Pertanto, consiglierei di ottenere un certificato emesso da un'autorità di certificazione, ma se desideri mantenere il tuo biglietto autofirmato, disattiva semplicemente il controllo di verifica.

    
risposta data 17.08.2016 - 03:30
fonte

Leggi altre domande sui tag