使用自签名 SSL 证书
Using Self-Signed SSL certificate
我正在开发一个基于 Telegram Bot 的在线商店,我需要在 VPS 上托管它。如果我使用自签名 SSL 证书有什么危险?
我在网上发现存在中间人攻击威胁,但我找不到关于使用自签名 SSL 时如何避免的详细说明。
例如,如果所有请求都发送 to/from 一个 URL 类型的 www.example.com/ 会有帮助吗?
这是基于我对 Telegram Bot API 的阅读。
有两种方法可以控制您的机器人,这两种方法都涉及“相当”安全的协议,很难被中间人 (MITM) 攻击。首先,使用 Bot API 与 Telegram 服务器的所有通信都使用 HTTPS。您必须通过执行 适当的 证书链验证来验证 Telegram 服务器。 Telegram 通过检查您在 HTTP 请求中提供的令牌来验证您的身份并识别您的身份。此令牌是在您创建机器人时提供给您的,必须保密。
此外,您还可以选择通过 webhook 接收更新。这基本上涉及到您 运行 使用自签名证书的 HTTPS 服务器。但是,您在设置 webhook 时通过安全的相互验证连接向 Telegram 提供证书,因此这消除了 MITM 威胁。 Telegram 文档建议您可以使用一种方法来验证连接是否来自 Telegram。
注意事项:
- 我从未实现过 Telegram Bot,所以这只是基于阅读文档。
- 仅仅因为经过 10 分钟的学习后它对我来说看起来很安全,但事实并非如此。由于这是 HTTPS 中的一个独特协议,在我有信心之前我希望看到一些专家分析。
我正在开发一个基于 Telegram Bot 的在线商店,我需要在 VPS 上托管它。如果我使用自签名 SSL 证书有什么危险?
我在网上发现存在中间人攻击威胁,但我找不到关于使用自签名 SSL 时如何避免的详细说明。
例如,如果所有请求都发送 to/from 一个 URL 类型的 www.example.com/ 会有帮助吗?
这是基于我对 Telegram Bot API 的阅读。
有两种方法可以控制您的机器人,这两种方法都涉及“相当”安全的协议,很难被中间人 (MITM) 攻击。首先,使用 Bot API 与 Telegram 服务器的所有通信都使用 HTTPS。您必须通过执行 适当的 证书链验证来验证 Telegram 服务器。 Telegram 通过检查您在 HTTP 请求中提供的令牌来验证您的身份并识别您的身份。此令牌是在您创建机器人时提供给您的,必须保密。
此外,您还可以选择通过 webhook 接收更新。这基本上涉及到您 运行 使用自签名证书的 HTTPS 服务器。但是,您在设置 webhook 时通过安全的相互验证连接向 Telegram 提供证书,因此这消除了 MITM 威胁。 Telegram 文档建议您可以使用一种方法来验证连接是否来自 Telegram。
注意事项:
- 我从未实现过 Telegram Bot,所以这只是基于阅读文档。
- 仅仅因为经过 10 分钟的学习后它对我来说看起来很安全,但事实并非如此。由于这是 HTTPS 中的一个独特协议,在我有信心之前我希望看到一些专家分析。