检查证书有效期：客户端会首先检查证书的有效期，确保证书没有过期。
验证颁发机构：客户端会检查证书是否由受信任的证书颁发机构（CA）签发。这通过检查操作系统中已内置的受信任的 CA 列表来完成。
验证证书签名：客户端会使用 CA 的公钥来验证证书的数字签名。具体过程是：客户端利用证书的原始信息计算出信息摘要，然后用 CA 的公钥解密数字证书中的数字签名，解密出来的数据也是信息摘要。如果两个信息摘要相等，则说明证书是由 CA 机构颁发的。
检查域名匹配：客户端会检查证书中的 CN（Common Name）或 SAN（Subject Alternative Name）字段是否与访问的域名相匹配。

获取证书链：服务器会将服务器证书、中间证书和根证书一同发送给客户端。
验证证书链中的每个证书：客户端会逐级验证证书链中的每个证书，从服务器证书开始，沿着证书链向上验证，直到达到根证书。验证过程包括：
- 验证证书的签名：使用相应证书的签发者公钥来验证证书的签名是否有效。
- 验证证书的有效期：检查证书的有效期是否在当前时间范围内。
- 验证证书的吊销状态：客户端可能会查询证书吊销列表（CRL）或者在线证书状态协议（OCSP）来检查证书是否已被吊销。
- 确保证书链追溯到受信任的根证书：客户端会确保证书链中的每个证书都是有效且可以信任的，并且证书链能够追溯到一个被客户端信任的根证书。

单向认证的局限性：单向认证中，只有服务器向客户端提供证书进行身份验证，这可能导致中间人攻击，因为攻击者可以使用伪造的服务器证书来欺骗客户端。
双向认证的过程：
- 客户端验证服务器证书：客户端首先验证服务器的证书，确保证书有效且可信。
- 服务器验证客户端证书：服务器要求客户端提供证书，服务器验证客户端证书的有效性和可信性。验证过程与客户端验证服务器证书类似，包括检查证书的有效期、颁发机构、签名和域名匹配等。
增强安全性：通过双向认证，客户端和服务器都验证了对方的身份，这大大增加了中间人攻击的难度，因为中间人需要同时伪造客户端和服务器的证书，这几乎是不可能的。

综上所述，客户端通过验证证书的有效期、颁发机构、签名和域名匹配来验证 HTTPS 服务域名证书；通过逐级验证证书链中的每个证书来验证证书链；通过实现双向认证，即客户端和服务器都验证对方的证书，来避免中间人拦截和窃取。

中间人攻击与解决

即使有了双向认证，理论上仍然可能存在中间人攻击的风险，但在实际应用中，这种风险会大大降低。中间人攻击的可能性主要取决于以下几个因素：

为了进一步防止中间人攻击，可以使用 SSL Pinning 技术。SSL Pinning 是一种增强应用程序安全性的技术，通过将服务器的 SSL/TLS 证书或其公钥“固定”到客户端应用程序中，确保客户端在与服务器通信时只信任特定的证书或公钥，从而降低遭遇伪造证书或中间人攻击的风险。

证书固定（Certificate Pinning）：客户端将服务器的完整证书（包括证书链中的所有中间证书）嵌入应用程序中。当建立连接时，客户端会验证服务器提供的证书与已固定的证书是否一致。
公钥固定（Public Key Pinning）：客户端将服务器的公钥而不是完整的证书固定到应用程序中。由于公钥通常不会改变，即使服务器更换了证书，只要公钥不变，连接依然有效。

防止中间人攻击：即使攻击者通过伪造证书或使用未受信任的证书来截获流量，SSL Pinning 仍然能够确保客户端只与可信的服务器建立连接。
防止证书滥用：在一些情况下，证书的颁发机构可能会不小心将某些证书颁发给恶意方，或者证书管理中存在漏洞。通过 SSL Pinning，即便存在这些问题，攻击者也无法轻易篡改通信。
增强的信任性：通过强制使用特定证书或公钥，提升了客户端对与之通信的服务器的信任度，减少了第三方攻击的可能性。

通过结合双向认证和 SSL Pinning 技术，可以大大增强客户端与服务器之间的通信安全性，有效防止中间人攻击。

9ong@TsingChan 文章内容由 AI 生成。

HTTPS双向认证与中间人攻击解决