¿Es necesaria la verificación del dominio / subdominio cuando se hace un anclaje de clave pública?

1

Recientemente trabajé en una aplicación móvil y establecí la fijación de claves públicas para las conexiones con mi servidor. Las conexiones desde la aplicación cliente pueden realizarse a varios subdominios del dominio del servidor principal.

¿La comprobación de un dominio o subdominio adecuado asociado con el certificado público en el proceso de autenticación del servidor aumenta la seguridad? Quiero decir, si de todos modos estoy revisando la clave pública, ¿es necesario verificar también el dominio y el subdominio? Si es así, ¿por qué? ¿Qué puedo hacer para realizar la verificación del dominio / subdominio sin conocer todos los subdominios posibles al momento de implementar la aplicación en la producción?

    
pregunta Wladek Surala 13.12.2016 - 23:29
fuente

1 respuesta

2

Hay varios tipos de fijación de clave pública y la respuesta depende de lo que realmente haga. Si fija la clave del certificado del servidor y solo espera un único certificado específico para el servidor, entonces probablemente no sea necesario verificar la URL a la que accede con el asunto del certificado, ya que solo debería haber este único certificado con esta clave ( o tal vez múltiples certificados similares al renovar).

Si, en cambio, reutiliza la misma clave pública para muchos certificados (mala idea) o si fija la clave de la CA emisora en lugar del certificado de hoja, también debe verificar que el asunto del certificado coincide con el nombre en el URL.

    
respondido por el Steffen Ullrich 13.12.2016 - 23:47
fuente

Lea otras preguntas en las etiquetas