Blocco dei certificati con CDN

1

Attualmente sto progettando i controlli di sicurezza di un'applicazione Android e desidero avere il blocco dei certificati. Conosco il concetto e ho visto varie implementazioni in passato, tuttavia questa applicazione Android utilizza un CDN (per tutte richieste / risposte).

Mi chiedevo se il certificato da inserire dovrebbe essere del mio server? o dovrebbe essere il certificato della CDN?

    
posta xian-ming 26.11.2017 - 12:41
fonte

1 risposta

1

Il blocco dei certificati indica che l'applicazione accetta solo certificati server specifici all'interno di un handshake TLS. Ciò significa che è necessario collegare i certificati effettivamente forniti dal server all'interno dell'handshake TLS. Se la tua applicazione sta comunicando solo con un CDN, sarebbero i certificati serviti dal CDN. Se questi sono certificati creati o acquistati dal CDN stesso o se questi sono i tuoi certificati che hai fornito al CDN dipende dalla tua configurazione specifica e sconosciuta con il CDN.

Si prega inoltre di non limitare solo i certificati su cui si ha il pieno controllo. Ad esempio, se si collegano i certificati creati dal CDN e possono essere modificati dal CDN senza chiedere all'utente, l'applicazione potrebbe interrompersi improvvisamente poiché la CDN ha deciso di modificare i certificati.

    
risposta data 26.11.2017 - 12:56
fonte

Leggi altre domande sui tag