Attualmente sto progettando i controlli di sicurezza di un'applicazione Android e desidero avere il blocco dei certificati. Conosco il concetto e ho visto varie implementazioni in passato, tuttavia questa applicazione Android utilizza un CDN (per tutte richieste / risposte).
Mi chiedevo se il certificato da inserire dovrebbe essere del mio server? o dovrebbe essere il certificato della CDN?
Il blocco dei certificati indica che l'applicazione accetta solo certificati server specifici all'interno di un handshake TLS. Ciò significa che è necessario collegare i certificati effettivamente forniti dal server all'interno dell'handshake TLS. Se la tua applicazione sta comunicando solo con un CDN, sarebbero i certificati serviti dal CDN. Se questi sono certificati creati o acquistati dal CDN stesso o se questi sono i tuoi certificati che hai fornito al CDN dipende dalla tua configurazione specifica e sconosciuta con il CDN.
Si prega inoltre di non limitare solo i certificati su cui si ha il pieno controllo. Ad esempio, se si collegano i certificati creati dal CDN e possono essere modificati dal CDN senza chiedere all'utente, l'applicazione potrebbe interrompersi improvvisamente poiché la CDN ha deciso di modificare i certificati.
Leggi altre domande sui tag mobile android tls certificate-pinning