应用软件安全编程--28SSL 连接时要进行服务器身份验证

当进行SSL 连接时，服务器身份验证处于禁用状态。在某些使用SSL 连接的库中，默认情况下不 验证服务器证书。这相当于信任所有证书。

对 SSL 连接时要进行服务器身份验证的情况，示例1给出了不规范用法(Java 语言)示例。示例2 给出了规范用法(Java 语言)示例。

示例1:

SimpleEmail email = new SimpleEmail();

email.setHostName("smtp.testemail.com");

email.setCharset("UTF-8");

email.setSmtpPort(25);

email.setAuthenticator(new DefaultAuthenticator(name, pwd));

email.setSSLOnConnect(true);

email.setFrom("[email protected]");

email.setSubject("测试主题");

email.setMsg("邮件内容)");

email.addTo("[email protected]");

email.send();

上述代码片段没有明确地验证服务器证书。

当尝试连接到 smtp.testemail.com:25 时，此应用程序将随时接受颁发给"hackedserver.com" 的证 书。此时，当服务器被黑客攻击发生 SSL 连接中断时，应用程序可能会泄露用户敏感信息。

当进行 SSL 连接时，需要注意进行服务器验证检查。根据所使用的库，验证服务器身份并建立安 全的 SSL 连接。

示例2:

SimpleEmail email = new SimpleEmail();

email.setHostName("smtp.testemail.com");

email.setCharset("UTF-8");

email.setSmtpPort(25);

email.setAuthenticator(new DefaultAuthenticator(name,pwd));

email.setSSLCheckServerldentity(true);

email.setSSLOnConnect(true);

email.setFrom("[email protected]");

email.setSubject("测试主题");

email.setMsg("邮件内容)");

email.addTo("[email protected]");

email.send();

上述代码示例中，明确验证服务器证书。