iOS Закрепление сертификатов и менеджер сертификатов Amazon - PullRequest
Новая
       3

iOS Закрепление сертификатов и менеджер сертификатов Amazon

0 голосов
/ 18 февраля 2020

Я не могу найти точную информацию о закреплении сертификатов в iOS и Amazon Certificate Manager.

Они рекомендуют не закреплять сертификат ACM.

https://docs.aws.amazon.com/acm/latest/userguide/acm-bestpractices.html#best -practices-pinning

Мы рекомендуем, чтобы ваше приложение не прикрепляло сертификат ACM

Причина, по которой они не рекомендуют это:

Чтобы обновить сертификат, ACM генерирует новую пару открытых ключей c -private.

Вместо этого они рекомендуют:

Если вы При использовании сертификата publi c прикрепите свое приложение ко всем доступным сертификатам Amazon root.

Я понимаю, почему не прикрепляет к сертификату ACM - потому что вы Придется выпускать обновления с новыми сертификатами, рискуя возможными обманами клиентов. Вы также не можете закрепить ключ publi c, потому что он изменится.

Чего я не понимаю, так это то, как можно закрепить только сертификаты root? Это все еще помешает человеку в середине атак? Как это более безопасно?

Может кто-нибудь объяснить это лучше?

1 Ответ

0 голосов
/ 18 февраля 2020

Не было бы более надежно закрепить сертификат root. Я думаю, что документация Amazon, пытающаяся порекомендовать, является способом, который не нарушил бы ваше сетевое соединение в случае, когда сертификат истекает и обновляется.

Вот цитата с этого сайта, объясняющая различные виды закрепления сертификатов: https://carvesystems.com/news/cert_pin/

Сертификат листа: Сертификат листа является сертификатом верхнего уровня в цепочка сертификатов. Закрепление листовых сертификатов дает нам почти полную уверенность в том, что сертификат соответствует. Тем не менее, если вы часто используете циклические листовые сертификаты, обновления должны развертываться достаточно часто, чтобы приложение вашего клиента продолжало работать.

Промежуточный сертификат: промежуточный сертификат живет между листом и root сертификатом. В этом случае, прикрепляясь к промежуточному сертификату, вы доверяете промежуточному центру сертификации. Поэтому вы можете обновлять листовой сертификат вашего сервера чаще, поскольку проверка сертификатов происходит на промежуточном сертификате.

Root Сертификат: Наконец, сертификат root поступает из доверенного центра сертификации. Прикрепление только сертификата root доверяет органу сертификации root, а также всем посредникам, которым доверяет орган сертификации root.

Надеюсь, что это поможет

Добро пожаловать на сайт PullRequest, где вы можете задавать вопросы и получать ответы от других членов сообщества.

Нет похожих вопросов

...