Как проверить самозаверяющий сертификат?

Question

В настоящее время я пишу настольное приложение, которое нужно будет связывать с PHP-скриптами на моем удаленном сервере через https (с самозаверяющим сертификатом). Код связи между сервером и клиентом все еще находится на стадии планирования, однако, поскольку я еще не понял, как проверить (на клиенте), что я действительно общаюсь с MY-сервером. Я предполагаю, что есть способ проверить подлинность серверов с помощью сертификата. Я намерен использовать WinHTTP для связи https, предоставляя ему все необходимые функции.

Answer 1

Чтобы значительно упростить ситуацию: клиенты проверяют сертификат сервера, используя жесткий список доверенных сертификационных центров. Список сертификатов - это внутренний список сертификатов, которые выпекаются в клиенте, а клиент проверяет, что сертификат, представленный сервером, подписан одним из органов сертификации, которым доверяет клиент.

Таким образом, независимо от того, что вы в конечном итоге делаете, вашему клиенту придется хранить какой-то список сертификатов, которым он доверяет. Это фундаментальный аспект модели доверия TLS. Вы можете просто добавить свой самозаверяющий сертификат к клиенту, и клиент проверяет, что ваш сервер предоставил тот же сертификат.

Но правильный ответ заключается в том, чтобы запустить собственный центр сертификации. Он включает в себя некоторые дополнительные предварительные подготовительные работы, но конечный результат будет работать намного лучше. Вместо нескольких дюжин или около того стандартных сертификационных полномочий, которые либо включены в вашу операционную систему, либо ваш браузер, ваш клиент будет иметь только один доверенный центр сертификации в своем списке доверия: собственный центр сертификации, и ваш клиент проверит, что сертификат вашего сервера подписывается вашим центром сертификации.