В настоящее время у меня есть группа веб-сервисов, предоставляющих интерфейсы для различных типов клиентов и ролей. Аутентификация выполняется с помощью пар открытого / закрытого ключей (RSA) только для проверки URL-адреса как подписи в заголовке HTTP.
В настоящее время тело HTTP не зашифровано (я использую частный / открытый ключ 2048 бит, который позволяет мне шифровать только небольшие объемы информации), поэтому RSA недостаточно безопасен, потому что сервер больше не может доказать себе, что нет Человек посередине. Я могу зашифровать также тело HTTP, но как насчет производительности?
У меня вопрос: какие методы рекомендуются для предотвращения атаки MITM в этом случае?