Domande con tag 'certificate-pinning'

domande con tag
6
risposte

Che cos'è il blocco dei certificati?

Ho superficialmente familiarità con SSL e cosa certifica. Recentemente ho visto alcune discussioni su Cert Pinning ma non c'era una definizione. Una ricerca DDG non ha rivelato nulla di utile. Che cos'è il blocco dei certificati?     
posta 31.01.2013 - 00:27
3
risposte

Qual è lo scopo di rotazione frequente dei certificati TLS senza modificare le chiavi sottostanti?

Ho letto nel foglio cheat OWASP relativo al certificato / blocco di chiave pubblica che "Google ruota il suo certificati ... circa una volta al mese ... [ma] le chiavi pubbliche sottostanti ... rimangono statiche ". Aumentare la frequenza d...
posta 14.04.2015 - 06:53
3
risposte

Differenza tra pinning del certificato e blocco della chiave pubblica

Capisco cos'è il pinning. Avevo letto sul blocco dei certificati e ho apprezzato il suo caso d'uso. Ma oggi ho imparato che il pinning può essere di due tipi: pin il certificato o pin la chiave pubblica Blocco di certificati e chiave p...
posta 03.04.2015 - 18:29
2
risposte

Rischio di certificati autofirmati con Android

Nella top ten di OWASP elenco per dispositivi mobili, si dice che i certificati autofirmati non dovrebbero mai essere permesso Voglio verificare con gli altri perché è così? Se ho un server back-end per la mia app mobile, firmo anch'io un p...
posta 07.11.2015 - 22:33
2
risposte

In che modo gli sviluppatori di dispositivi mobili possono evitare di bypassare il blocco dei certificati con strumenti come SSL Kill Switch?

Ho usato SSL Kill Switch su alcune applicazioni mobili iOS per cercare di aggirare il pinning del certificato e ho avuto successo. Capisco che SSL Kill Switch "uccide" il processo di convalida dei certificati sul lato client e questo è il modo i...
posta 03.05.2016 - 15:32
2
risposte

Il rinnovo del certificato SSL cambia la sua identificazione personale / impronta digitale

Mi piacerebbe sapere, se il rinnovo di un certificato SSL cambierà la mia impronta digitale? Il certificato è scaduto. Se può essere lo stesso, a quali condizioni può rimanere lo stesso. Molte grazie in anticipo.     
posta 03.02.2015 - 10:01
4
risposte

Come posso impostare il mio server in modo che accetti solo le richieste dalla mia app cliente? (simile ai certificati client SSL)

Mi piacerebbe che le mie API del server accettassero solo richieste dalla mia app, per evitare altri client "canaglia" del mio servizio. Come ho capito, il modo per farlo sarebbe con un "certificato client" che l'app invia e che il server web...
posta 17.02.2015 - 14:01
1
risposta

Intercetta connessione SSL fissata con chiave privata

Posso intercettare il traffico https che usa il pinning del certificato usando il violinista se ho la chiave privata del certificato? Sto cercando di intercettare il traffico tra le nostre app mobili e l'API e le app mobili utilizzano il bloc...
posta 02.04.2016 - 21:33
2
risposte

Certificate Pinning vs E2E Encryption

Vedo che ci sono alcune API che scambiano alcune chiavi pubbliche di ordinamento per proteggere il contenuto della connessione https usando la crittografia asimmetrica. C'è qualche ulteriore vantaggio a questo? Per quanto ne so, dovrebbe essere...
posta 26.05.2017 - 15:08
1
risposta

Attacco denial-of-service persistente basato su HPKP su siti Web

HTTP Public Key Pinning (HPKP) è uno standard che consente a un sito Web HTTPS di specificare quali certificati si fida e indica al browser di non consentire alcuna connessione a quel sito che è protetto da qualsiasi altro certificato. Può...
posta 06.07.2015 - 07:26