No estoy seguro de que se haya hecho una pregunta similar antes (no pude encontrar ninguna), pero ¿es posible proteger el cliente/servidor del ataque Man-In-The-Middle?¿Es posible evitar el ataque man-in-the-middle cuando se usan certificados autofirmados?
Estoy escribiendo una aplicación de cliente para comunicarme con el servidor. La comunicación estará basada en SSLv3. Estoy de acuerdo con los certificados autofirmados del servidor, pero me preocupa que alguien más genere el mismo certificado autofirmado en el mismo nombre de servidor y pretenda serlo. Mi aplicación de cliente usa la biblioteca de OpenSSL. [El cliente y el servidor están basados en el ahorro, si hace alguna diferencia]. ¿Puedo evitar tal ataque al mismo tiempo manteniendo el soporte para certificados autofirmados?
Si su aplicación no necesita ser compatible con clientes/servidores existentes, puede ir directamente a TLS 1.x (la más alta compatible con sus bibliotecas) y omita SSL 3.0 si puede. – Bruno
@Bruno Gracias. No puedo ir por TLS por ahora. El servidor usa SSLv3. –