使用自签名 SSL 证书
[英]Using Self-Signed SSL certificate
问题描述
我正在开发一个基于 Telegram Bot 的在线商店,我需要将它托管在 VPS 上。 如果我使用自签名 SSL 证书有什么危险?
我在网上发现存在 MiTM 攻击威胁,但我找不到关于使用自签名 SSL 时如何避免它的详细说明。
例如,如果所有请求都发送到/从 URL 类型为: www.example.com/会有帮助吗?
1 个解决方案
解决方案1
1 已采纳 2020-07-04 19:30:12
这是基于我对Telegram Bot API的阅读。
有两种方法可以控制您的机器人,这两种方法都涉及“合理”的安全协议,这些协议很难实现中间人 (MITM)。 首先,使用 Bot API 与 Telegram 服务器的所有通信都使用 HTTPS。 您必须通过正确的证书链验证来验证 Telegram 服务器。 Telegram 通过检查您在 HTTP 请求中提供的令牌来对您进行身份验证和识别您。 此令牌是在您创建机器人时提供给您的,并且必须保密。
此外,您还可以选择通过 webhook 接收更新。 这基本上涉及您使用自签名证书运行 HTTPS 服务器。 但是,当您设置 webhook 时,您通过安全的相互身份验证的连接将您的证书提供给 Telegram,因此这消除了 MITM 威胁。 Telegram 文档建议了一种方法,您可以使用它来验证连接是否来自 Telegram。
注意事项:
- 我从来没有实现过 Telegram Bot,所以这只是基于阅读文档。
- 仅仅因为在 10 分钟的学习后它看起来对我来说是安全的,并不能使它如此。 由于这是 HTTPS 中的一个独特协议,我希望在有信心之前看到一些专家分析。
在Android中使用DefaultHttpClient提示用户接受自签名SSL
[英]Prompting user to accept self-signed SSL using DefaultHttpClient in Android
Microsoft Edge 强制 HTTPS 并拒绝自签名证书
[英]Microsoft Edge forcing HTTPS and refusing a self-signed certificate
使用自签名证书进行Windows电话HTTPS(HTTP over SSL)通信
[英]Using self signed certificate for Windows phone HTTPS(HTTP over SSL) communication
接受自签名SSL证书 - >在哪里设置默认的TrustManager
[英]accept self-signed SSL Certificates-> where to set default TrustManager
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.