自己署名SSL証明書を使用するデバイスでのMitM攻撃を認識して防止することは可能ですか？

サーバー証明書の要点は、クライアントがサーバーの正しい正規の公開鍵を知っていることをクライアントが確認できるようにすることです。 CAによって署名された証明書は、これを実現する1つの方法です（正しい情報が含まれる証明書のみに署名し、それを間違えないようにCAを信頼するという暗黙の前提）。自己署名証明書はそのような保証を伝えることができません。

ただし、場合によっては、証明書モデルをdirect trustに置き換えることができます。つまり、特定の特定の証明書を信頼できることをWebブラウザに通知します。 Firefoxはこれを「セキュリティ例外」と説明しています。これは問題を完全に解決するわけではありませんが、少なくとも、正しいサーバー証明書が表示されていることを一度確認するという問題にそれを減らします。その後、あなたのブラウザはその「例外」を記憶し、恐ろしい警告であなたを悩ませることはありません-しかし、誰かがあなたに別のものを供給しようとすると、それは酔っぱらったクリスマスツリーのように光ります個別の自己署名証明書。

初期登録の場合、初めてサーバーに接続するときに、ブラウザーに「SHA-1フィンガープリント」または「サムプリント」を表示させます。名前はブラウザによって異なりますが、これは完全な証明書に対して計算されたSHA-1ハッシュ値であり、40桁の16進文字で表されます。次に、目的のサーバーのシステム管理者に電話して、his証明書の拇印を入力してもらいます。ローカルで既知のセキュリティ例外として登録します。

（上記のプロセスは [〜＃〜] ssh [〜＃〜] の場合とまったく同じであり、SSLでも機能します。）

「セキュリティ例外」をインストールする方法は、ブラウザとオペレーティングシステムによって異なります。考えられるすべての組み合わせを検索して説明するのが面倒です。しかし、少なくとも、あなたにはコンセプトがあります。