Cert Pinning en la aplicación móvil: ¿realmente requiere un certificado SSL público en el lado del servidor?

Question

Cert Pinning en la aplicación móvil: ¿realmente requiere un certificado SSL público en el lado del servidor?

#1 de Steffen Ullrich (0 votos)

1

Para implementar Cert Pinning en una aplicación móvil nativa en (por ejemplo, iOS), se está estableciendo un nuevo punto final de API (por ejemplo, api.example.com). Esta URL se configurará con un certificado SSL autofirmado .

Esta URL de punto final de API está destinada a ser consumida solo por esta aplicación móvil (y no a través de la Web u otro UA). En la aplicación móvil, las advertencias de "certificado de no confianza", si las hay, se pueden suprimir de forma transparente para que sea perfecta para el usuario móvil.

¿La validación de Fijación de Cert en la aplicación móvil es suficiente para la seguridad de los datos en tránsito (con certificado autofirmado)?

¿Realmente requerimos un certificado SSL público en este escenario?

¿Un certificado SSL público agregaría valor adicional desde un punto de vista criptográfico para mitigar el MITM (uno de los objetivos de la fijación de certificados)?

certificate-pinning

pregunta Puneet 02.02.2017 - 00:16

fuente

1 respuesta

Lea otras preguntas en las etiquetas certificate-pinning

¿Cómo monitorear el tráfico HTTPS usando wireshark? [cerrado] Lista de verificación para devolver una computadora portátil de trabajo

score 0 · Accepted Answer

Se usa un certificado en TLS para asegurarse de que el cliente hable con el servidor correcto y no con algún hombre en el medio. Para verificar el certificado, el cliente debe saber exactamente qué certificado esperar o debe encontrar otra forma de confiar en el certificado. En una configuración típica con navegadores web como clientes, no se puede escalar para distribuir el certificado esperado de manera segura para todos los clientes y, por lo tanto, se utiliza una PKI en la que el navegador no confía directamente en el certificado pero confía en el certificado porque confía en el El emisor y el asunto del certificado coinciden con la URL.

Pero en su caso de una aplicación móvil, realmente puede distribuir el conocimiento sobre el certificado con la aplicación. En este caso, es suficiente tener un certificado autofirmado y un pin a este certificado o su clave pública. Pero tenga en cuenta que no puede simplemente revocar el certificado en esta configuración en caso de que se vea comprometido. Si necesita esto, podría ser más fácil utilizar el mecanismo existente con una CA pública además de la fijación.