Мобильное приложение с закреплением сертификата — SSL-сертификат на DMZ-боксе с доверенным ЦС против моего собственного ЦС

Я разрабатываю мобильное приложение с закреплением сертификата. У меня будет ящик в DMZ, который будет проксировать мои запросы. Должен ли этот сервер иметь сертификат от доверенного ЦС или я могу использовать тот, который я сгенерировал из своего собственного ЦС?

Каковы преимущества использования доверенного ЦС в мобильном клиенте?

Кроме того, после этого я зайду на несколько разных серверов, которые будут использовать мой собственный сертификат, сгенерированный центром сертификации. Мне их тоже закрепить? Я предполагаю, что да, закрепление обоих будет лучше даже в сети. Но нужно ли?

Спасибо!


ssl https security ca pinning
person devjme    schedule 27.04.2016    source источник

Ответы (2)


arrow_upward
0
arrow_downward

Если вы используете свой собственный ЦС, который вы предоставили для самостоятельного управления процессом отзыва, это сложно.

person Tom    schedule 27.04.2016

arrow_upward
0
arrow_downward

Если вы используете пользовательский ЦС, это означает, что вам придется:

  • Подготовьте все мобильные устройства, которые будут использовать ваше приложение, с вашим настраиваемым ЦС. Если вы не контролируете мобильные устройства, это будет невозможно сделать, и отправка ЦС в хранилище доверенных сертификатов устройства в любом случае является обязательством.
  • Отключите проверку сертификата системы по умолчанию, чтобы пользовательский ЦС был принят вашим приложением, а затем повторно проверьте цепочку сервера и выполните закрепление. Практически невозможно сделать это правильно, поэтому вы, скорее всего, столкнетесь с небезопасным HTTPS-соединением.

Купите сертификат в доверенном ЦС.

Для соединений между прокси-сервером и внутренними серверами вы можете реализовать закрепление SSL, но это менее приоритетно, поскольку поверхность атаки меньше, чем у мобильных клиентов.

person Nabla    schedule 02.05.2016