MITM 是否可能发生在使用 IP 的情况下

亲爱的编程学习爱好者，如果你点开了这篇文章，说明你对《MITM 是否可能发生在使用 IP 的情况下》很感兴趣。本篇文章就来给大家详细解析一下，主要介绍一下，希望所有认真读完的童鞋们，都有实质性的提高。

如果我向通过 IP 引用的 API 服务器发出 TLS 请求，证书验证是否仍可能阻止各种 MITM 攻击？

背景信息（如果它澄清了问题）：我正在使用没有与其关联的域名的静态 IP 向 REST API 发出 TLS 请求。为了在 Go 中实现此功能，我必须在 HTTP 客户端的传输层设置 InsecureSkipVerify: true, 。这是否会降低我的请求的安全性？ 我认为确实如此，但我真的不知道为什么。

正确答案

正如 @james 指出的那样，ip 是 tls 握手的不相关组件。

虽然标准程序是：

• 拨打主机名/端口
• dns 查找主机名以获取 ip
• 使用 ip 进行 tls 握手
  • 揭示主机名证书身份
  • 验证证书名称与主机名匹配

使用 insecureskipverify：true 会跳过最后一步 - 通常仅在开发/测试期间使用。

但是，在最后一步中，您可以使用不同名称，以使证书身份匹配：利用 tls.Config 中的 servername 字段：

tc = &tls.Config{
    ServerName: "myhostname", // certificate identity
    RootCAs:    rootca,
    // InsecureSkipVerify: true // <- avoid using this
}

d := tls.Dialer{
    Config: tc
}

conn, err := d.Dial("tcp", "127.0.0.1:8080")

这里我们拨打一个 ip 地址，执行 tls 握手，但不是将主机证书与 127.0.0.1 进行比较的默认行为，而是验证它是否与 myhostname 匹配。

以上就是《MITM 是否可能发生在使用 IP 的情况下》的详细内容，更多关于的资料请关注golang学习网公众号！