Существует сервер HTTPS с самозаверяющим сертификатом на IP A и клиент https на IP B. Сервер разрешает доступ только с IP B в IPTABLES. Сервер клиентского доступа с правильным доменным именем и IP-адресом (определен в локальном файле хоста).
Это безопасный шаблон? Я хочу использовать этот шаблон для удаленного вызова процедур между двумя хостами с общедоступным IP-адресом. Есть ли проблемы с безопасностью. Может ли это предотвратить атаку «человек посередине»?
Атаки MitM все еще возможны, пока клиент https не проверяет сертификат каким-либо образом (например, сравнивая отпечаток пальца).
«Человек посередине» означает, что атакующий находится между A и B: для A кажется, что A разговаривает напрямую с B, а для B — наоборот, но на самом деле оба разговаривают с атакующим.
Подтвердив SSL-сертификат (например, доверяя ЦС или проверив отпечаток пальца), B (клиент) может убедиться, что он действительно разговаривает с A, а не с злоумышленником.
