Preguntas con etiqueta 'certificate-pinning'

6
respuestas

¿Qué es la fijación de certificados?

Estoy superficialmente familiarizado con SSL y lo que hacen los certificados. Recientemente vi algo de discusión sobre la fijación de certificados, pero no había una definición. Una búsqueda de DDG no resultó nada útil. ¿Qué es la fijación de ce...
hecha 31.01.2013 - 00:27
3
respuestas

¿Cuál es el propósito de rotar frecuentemente los certificados TLS sin cambiar las claves subyacentes?

Leí en la trampa de OWASP sobre el certificado / la fijación de claves públicas que "Google gira su certificados ... aproximadamente una vez al mes ... [pero] las claves públicas subyacentes ... permanecen estáticas ". Aumentar la frecuenci...
hecha 14.04.2015 - 06:53
3
respuestas

Diferencia entre la fijación del certificado y la fijación de la clave pública

Entiendo lo que es la fijación. Había leído sobre la fijación de certificados y aprecié su caso de uso. Pero hoy aprendí que el anclaje puede ser de dos tipos: coloque el certificado o fija la clave pública Identificación de certificad...
hecha 03.04.2015 - 18:29
2
respuestas

Riesgo de certificados autofirmados con Android

En la lista de OWASP para móviles, se menciona que los certificados autofirmados nunca deben ser permitido. Quiero consultar con otros ¿por qué esto es así? Si tengo un servidor back-end para mi aplicación móvil, y firmo un par de claves (a...
hecha 07.11.2015 - 22:33
2
respuestas

¿Cómo podrían los desarrolladores móviles evitar eludir la fijación de certificados con herramientas como SSL Kill Switch?

Usé SSL Kill Switch en algunas aplicaciones móviles de iOS para intentar omitir la fijación de certificados y tuve éxito. Entiendo que SSL Kill Switch "mata" el proceso de validación de certificados en el lado del cliente y así es como funciona....
hecha 03.05.2016 - 15:32
2
respuestas

¿La renovación del certificado SSL cambia su huella digital / huella digital?

Me gustaría saber si la renovación de un certificado SSL cambiará mi huella digital. El certificado ha caducado. Si puede ser igual, entonces bajo qué condiciones puede permanecer igual. Muchas gracias de antemano.     
hecha 03.02.2015 - 10:01
4
respuestas

¿Cómo puedo configurar mi servidor para que solo acepte solicitudes de mi propia aplicación cliente? (similar a los certificados de cliente SSL)

Me gustaría que las API de mi servidor solo acepten solicitudes de mi propia aplicación, para evitar que otros clientes "maliciosos" de mi servicio. Según tengo entendido, la forma de hacerlo sería con un "certificado de cliente" que la aplic...
hecha 17.02.2015 - 14:01
1
respuesta

Interceptar la conexión SSL con clave privada

¿Puedo interceptar el tráfico https que usa la fijación de certificados usando fiddler si tengo la clave privada del certificado? Estoy tratando de interceptar el tráfico entre nuestras aplicaciones móviles y API, y las aplicaciones móviles e...
hecha 02.04.2016 - 21:33
2
respuestas

Fijación de certificado frente a cifrado E2E

Veo que hay algunas API que intercambian algunas claves públicas de tipo para asegurar el contenido de la conexión https usando un cifrado asimétrico. ¿Hay algún beneficio adicional a esto? Por lo que sé, debería ser imposible instalar una conex...
hecha 26.05.2017 - 15:08
1
respuesta

Ataque persistente de denegación de servicio basado en HPKP en sitios web

Fijación de clave pública HTTP (HPKP) es un estándar que permite que un sitio web HTTPS especifique en qué certificados confía, y indique al navegador que no permita ninguna conexión a ese sitio que esté protegido por cualquier otro certificad...
hecha 06.07.2015 - 07:26