验证服务器的身份

Question

验证服务器是否真实有效的最佳方法是什么？

我猜使用签名的 SSL 证书是最好的路线，但想知道是否有任何编程方法可以做到这一点。

编辑：这是一个应用程序，其中服务器与其他服务器打交道（相互验证）以进行交换用户信息。 （抱歉，如果我忘了提及这一点）

Answer 1

由授权 CA（证书颁发机构）签署的 SSL 证书是唯一可以确定的方法。其他任何东西都可以伪造，尤其是任何“程序化手段”都特别不可靠。简短而简单：无论如何，授权的 SSL 证书是浏览器认为唯一可靠的东西。

Answer 2

您不需要证书来向某人证明您的身份（或服务器的身份）。您可以为此目的使用预共享密钥，并避免任何公钥基础设施。 TLS（或 SSL）协议支持该协议。找到一个允许您使用 TLS-PSK 的 TLS 库并使用它。

Answer 3

我推荐 HMAC 或 RSA。 HMAC 非常安全并且更容易实现。如果您有 5 台服务器都需要直接相互通信，HMAC 可能会变得笨重。

你想保护什么？这听起来像是一个 Web 应用程序，如果它是一个，那么您应该使用 SSL 证书。