不可信服务器的SSL证书策略

Question

我正在开发一种产品，需要充当本地网络上的服务器，供其他客户端应用程序连接，但受到以下限制：

• 交换的数据非常有价值，并且我们无法保证用户网络的安全或充当服务器的机器。因此，任何 SSL 证书都有可能落入“坏人之手”。
• 为了最大限度地减少对用户体验的干扰，客户端识别服务器的任何非电子方式都应仅限于可写在便利贴上的信息（即 IP 地址、密码，而不是交换密钥文件）。

鉴于这些，我们当前的 SSL 策略是：

• 不要将任何 SSL 证书安装到任何受信任的存储中或根据 CA 证书签署任何证书 - 这可能会给潜在的攻击者提供所有客户端计算机的前门密钥，
• 因此 SSL 证书将是自己的-签署。这不提供中间人保护，因为我们无法验证服务器。然而，它确实为网络不安全但服务器安全的用户提供窃听保护。
• 使用 Rijndael 对称加密在顶部实现“密码”系统，因此即使证书被泄露，也有一些窃听保护（我知道，有很多漏水桶 - 但总比没有好）。该密码可以定期重新生成，最大限度地减少对客户端用户体验的干扰。

在这些限制下，是否有更安全的客户端和服务器通信策略？

Answer 1

最后，我们开发了一个系统，可以在内存中为我们要支持的每个通道生成新的 SSL 证书。这不能提供针对中间人的保护，但至少可以防止窃听（除非第三方在传输时可以访问服务器的内存，在这种情况下，所有安全性都毫无意义！）。