Я читал Certificate Transparency (CT) и его возможности для мониторинга использования и злоупотребления сертификатами. Мне интересно, может ли CT обнаружить обход SSL Pinning в мобильном приложении (в случае веб-приложения, если на то пошло). Прошу просветить меня в этом. Если да, то как? если нет, то почему?
Может ли прозрачность сертификата обнаруживать обход SSL-пиннинга в мобильных приложениях?
Ответы (1)
TL;DR
CT can not detect bypass of SSL Pinning in your mobile applications
CT и SSL Pinning — это две разные вещи. В SSL Pinning вы гарантируете, что любой хэш сертификата / хеш открытого ключа, полученный во время рукопожатия TLS, совпадает с хэшем, закрепленным в приложении, чтобы гарантировать, что вы доверяете только сертификату из белого списка, а не доверяете всему в хранилище доверенных сертификатов устройства, тогда как через CT мы выполняем криптографические проверяет, получили ли мы действительный SCT (временная метка подписанного сертификата), и сервер журнала переместил записи сертификата в общедоступный журнал только для добавления, чтобы убедиться, что для наших доменов не создан ложный сертификат вредоносным доверенным центром сертификации или через компрометацию ЦС.
Кроме того, обратите внимание, что с CT мы только гарантируем, что сертификаты, выданные ОБЩЕСТВЕННЫМИ ЦС, были выданы законно, тогда как при выполнении MITM для перехвата трафика приложения / обхода закрепления мы используем сертификат прокси-сервера (Charles/Burp/ZAP), который не является общедоступным ЦС. и, следовательно, проверки не осуществляются через CT