Cert Pinning sull'app mobile: richiede veramente un certificato SSL pubblico sul lato server?

1

Per implementare Cert Pinning su un'app mobile nativa su (ad esempio iOS), viene stabilito un nuovo endpoint API (ad esempio api.example.com). Questo URL verrà impostato con un certificato SSL autofirmato .

Questo URL endpoint dell'API è pensato per essere utilizzato solo da questa app mobile (e non via Web o altri UA). Sull'app mobile, gli avvisi "cert non attendibili", se presenti, possono essere soppressi in modo trasparente per renderlo perfettamente compatibile con l'utente mobile.

La convalida Cert Pinning sull'app mobile è sufficiente per la sicurezza dei dati in transito (con certificato autofirmato)?

Abbiamo davvero bisogno di un certificato SSL pubblico in questo scenario?

Un cert SSL pubblico aggiungerebbe un valore aggiunto da un punto di vista crittografico per mitigare il MITM (uno degli obiettivi di cert pinning)?

    
posta Puneet 02.02.2017 - 00:16
fonte

1 risposta

0

Un certificato viene utilizzato in TLS per assicurarsi che il client comunichi con il server corretto e non con un utente nel mezzo. Per verificare il certificato, il cliente deve sapere esattamente quale certificato si aspetta o deve trovare un altro modo per fidarsi del certificato. In una configurazione tipica con browser Web come client, non scala per distribuire il certificato previsto in modo sicuro a tutti i client e pertanto viene utilizzata una PKI in cui il browser non si fida direttamente del certificato ma si fida del certificato perché si fida del l'emittente e l'oggetto del certificato corrispondono all'URL.

Ma nel tuo caso di un'app mobile puoi effettivamente distribuire la conoscenza del certificato con l'applicazione. In questo caso è sufficiente avere un certificato autofirmato e un pin su questo certificato o sulla sua chiave pubblica. Tuttavia, tieni presente che non puoi semplicemente revocare il certificato in questa configurazione nel caso in cui venga compromessa. Se necessario, potrebbe essere più semplice utilizzare il meccanismo esistente con CA pubblica oltre a bloccare.

    
risposta data 02.02.2017 - 07:18
fonte

Leggi altre domande sui tag