Perché ho bisogno di un certificato per bloccare una connessione SSL con AF Networking 2?

Naviga le tue risposte
1

Sto usando la libreria di rete di AF 2 e leggo che devo includere il certificato del server qui .

Il client dovrebbe essere in grado di dire che il certificato è valido quando si collega al server, quindi perché devo includere una copia nel mio codice?

    
posta Logioniz 07.04.2014 - 15:17
fonte

2 risposte

0

È specificamente perché stai facendo il blocco. Ciò consentirebbe di funzionare indipendentemente dal fatto che tu avessi un certificato autofirmato o un CA firmato. Fondamentalmente, si sta includendo il certificato con l'applicazione e si dice specificatamente all'applicazione "questo certificato è valido".

Sebbene ciò impedisca la connessione a un certificato diverso e dovrebbe consentire l'uso di un certificato autofirmato, complica anche la revoca di un certificato in modo piuttosto grave poiché l'applicazione dovrebbe essere aggiornata prima di poter aggiornare il certificato lato server .

Personalmente, eviterei di usare una libreria che richiedesse questo. Anche se si desidera eseguire un certificato autofirmato, il modo migliore per farlo è impostare la propria CA e indicare all'applicazione di considerare attendibile il certificato di origine della CA. Quindi è ancora possibile eseguire la normale revoca e modificare il certificato.

La libreria su cui stai lavorando può o non può supportare questo, ma quella parte sarebbe una domanda di programmazione piuttosto che di sicurezza.

    
risposta data 07.04.2014 - 16:04
fonte
0

Il client sarà in grado di vedere che il certificato è valido senza bloccare il certificato. Il cliente controllerà l'emittente del certificato e l'emittente dell'emittente del certificato e così via fino a quando non troverà il certificato di origine. Se il certificato di root è installato sul telefono, considererà valido il certificato del server.

Un utente malintenzionato potrebbe creare una nuova autorità di certificazione e rilasciare un certificato per il nome del server. L'app del telefono non saprà che si tratta di un certificato creato dall'utente se l'utente installa il certificato di origine sul telefono.

Ciò consente all'utente di instradare il traffico HTTPS attraverso un proxy e quindi è in grado di analizzare il traffico. Se vuoi renderlo molto più difficile da fare per l'utente, puoi appuntare il certificato. In questo modo il client si connetterà solo a un server con il certificato esatto che è bloccato.

Ciò non rende impossibile sniffare il traffico, ma rende molto più complicato.

    
risposta data 11.05.2014 - 13:41
fonte

Leggi altre domande sui tag

Esiste una variante TOTP che non richiede all'utente di digitare un codice? [chiuso] Come funziona esattamente l'exploit heartbeat (Heartbleed) di OpenSSL TLS?