SSL/TLS 是否足以保证我们用户密码的安全,即使是在中间人攻击的情况下,坏人会冒充服务器并发送假 CA 等?这可能吗?
由于该应用程序是从 Google Play / App Store 下载的,我想知道如果我捆绑一个公钥来加密密码等敏感数据,然后在使用它们之前在服务器上解密,是否会增加另一层安全性?
您对任何好的白皮书或类似的、通过此类最佳实践的白皮书有什么建议吗?
编辑: 这就是 CA 在浏览器中安装证书,以便首先在其服务器上检查证书的原因吗?这是否意味着我上面的建议没有任何作用,我可以认为我们是安全的?
为了回答我自己的问题,这就是客户实施受信任的根证书颁发机构来验证证书的原因。
我的结论是这绝对不是我需要担心的事情。