Pvt*_*ker 5 pinning ios nsurlsession
我目前正在我的 iOS 应用程序中实现TrustKit 框架,以便为 SSL 连接启用 SPKI 固定。我偶然发现了正确的 TrustKit 配置所必需的“备份引脚”。不幸的是,API 文档只说明需要一个备用引脚,但没有告诉我它应该是什么。信任链如下所示:
GeoTrust Global CA
| GeoTrust SSL CA - G3
| myServer.com
因此,我将 myServer.com-certificate 的 SPKI 哈希固定为主要 pin。我的备用引脚是什么?
不幸的是,我没有找到很多关于这个主题的信息。我找到的为数不多的资源之一是来自 PayPal 的 Hubert Le Van Gong撰写的这篇文章。他说到备用别针:
“无论引脚值的数量是多少,备份引脚都是绝对必须的。请注意,备份引脚的存在是 HPKP 中的一项要求(即对于网络案例),但它在移动应用程序领域同样重要。在在这两种情况下,对应于备用 pin 的密钥对应该保持离线,直到主 pin/密钥出现问题。”
我特别不明白“应该保持离线”的部分。
关于固定什么的问题:
根 CA 证书可能是最好的。因此,当固定到多个值(例如 2)时,中间 CA - 根 CA 在我看来是一种合理的方法。也就是说,只要该证书是根 CA,只固定到单个证书也是完全可以的。
由此我了解到我的备份 pin 可能是根 CA(准确地说是 SPKI 哈希)。但是,我想知道中间 CA 甚至根 CA 如何成为好的引脚。根据我的理解,这将验证其链中具有此中间/根 CA 的每个证书的固定。
我在这里出了什么问题?
这是一篇博客文章,其中包含有关备份 pin 的部分:https ://noncombatant.org/2015/05/01/about-http-public-key-pinning/
\n\n具体来说:
\n\n\n\n\n您可以而且可能应该使用备用中介或根颁发者证书进行备份。此外,最好在灾难发生之前让有效的发行者签署您的备份,以便您真正可以立即将其投入生产\xe2\x80\x99s!
\n
对于您的应用程序,您应该固定服务器当前证书的根 CA (GeoTrust Global CA),然后从不同的 CA 购买证书并使用该其他 CA 作为备份 pin。固定叶证书 (myServer.com) 需要更多的管理工作,因为此证书的密钥比根证书的密钥更频繁地更改。
\n\n另外,关于备份 pin 最重要的是它应该用于完全不同的证书链。
\n| 归档时间: |
|
| 查看次数: |
2988 次 |
| 最近记录: |