Molte applicazioni mobili impongono il blocco dei certificati per rendere difficile un attacco man-in-the-middle. Tuttavia, con un dispositivo jailbroken / rooted, è possibile disabilitare il pinning del certificato sul client. Ad esempio, utilizzando SSL Kill Switch su iOS.
Una domanda precedente ha chiesto come " impedire bypassare il blocco dei certificati". Capisco quanto la prevenzione sia effettivamente impossibile, dal momento che finché il client si radica sul dispositivo client, qualsiasi prevenzione è limitata a "sicurezza per oscurità" e ridotta a giocare a un gioco di gatto e topo.
Tuttavia, mi interessa sapere se è possibile rilevare , dal lato server, quando un client ha disabilitato il blocco dei certificati.
In particolare:
1) È possibile, utilizzando solo la funzionalità SSL di basso livello, rilevare quando il blocco del certificato è stato disabilitato dal client?
2) Se non è possibile con funzionalità SSL di basso livello, ci sono alcune informazioni che il server potrebbe richiedere al client per dimostrare che il blocco dei certificati rimane abilitato?