Domande con tag 'certificate-pinning'

domande con tag
1
risposta

Blocco dei certificati nelle app Android

Ho trovato un whitepaper su aggirare il pin ssl . Se questo è vero, come possiamo implementare in modo sicuro il blocco dei certificati nelle app Android? Esistono altre soluzioni alternative oltre al blocco dei certificati?     
posta 20.10.2015 - 13:38
1
risposta

Pinning SSL: gestione delle modifiche nella certificazione aggiunta sul lato client

Supponiamo di avere un client applicazione che comunica con un server tramite SSL. Supponiamo inoltre che il client stia utilizzando il blocco del certificato SSL, ovvero il client rifiuterà il certificato del server a meno che non sia conf...
posta 30.01.2017 - 14:24
2
risposte

Posso richiedere in qualche modo un certificato specifico per un dominio?

Il mio caso d'uso è il seguente: Ho creato dyndns per accedere al mio server di casa da internet. Se utilizzo un certificato DV o un certificato autofirmato, in realtà non sto autenticando la macchina ma solo il dominio . Se il mio accou...
posta 23.06.2017 - 17:49
1
risposta

Riguardo all'implementazione di Pinning SSL

Ho dei dubbi. Per la sicurezza delle applicazioni Android quale metodo di pinning SSL è buono? Distribuzione della chiave pubblica HTTP pinning Distribuzione della convalida del certificato utilizzando il formato * .bks insieme al verifica...
posta 15.11.2016 - 05:35
2
risposte

C'è un modo per attaccare il blocco del certificato STARTTLS + sondato da più posti?

Ho appena avuto questa discussione su IRC e devo ammettere che non ho capito perché gli altri utenti non erano convinti che sarebbe bastato ... Diciamo che mi piacerebbe proteggere le e-mail inviate dal mio server di posta, anche a il costo di e...
posta 12.06.2015 - 00:42
2
risposte

DANE è la variante DNS di Public Key Pinning (HPKP) HTTP?

Sto cercando di capire i record DANE e TLSA in modo più accurato. È corretto chiamare DANE la variante DNS di (o almeno una tecnica molto simile a) HTTP Public Key Pinning (HPKP)? Perché con HPKP un certificato SSL può essere bloccato usando...
posta 05.02.2018 - 00:05
1
risposta

WhatsApp utilizza il blocco dei certificati?

WhatsApp utilizza il blocco dei certificati? Ho trovato un post di Preatorian Security da febbraio 2014 che punti la mancanza di certificati bloccati come un importante problema di sicurezza e menziona: Update 02/21/2014: WhatsApp is acti...
posta 11.05.2016 - 18:19
1
risposta

SSL reciproco per i clienti del servizio cloud SaaS

La mia azienda sta lanciando un servizio SaaS basato su cloud. Ci saranno clienti di diversi inquilini che si connettono ai nostri servizi tramite SSL reciproco. I client userebbero una libreria fornita da noi per connettersi al servizio. Que...
posta 11.12.2018 - 11:39
1
risposta

Controllare la scadenza del certificato insieme al blocco della chiave pubblica

Il blocco della chiave pubblica evita completamente il processo di autenticazione del server predefinito dal client? Ad esempio, per impostazione predefinita il server del processo di autenticazione server verifica la scadenza del certificato...
posta 01.09.2017 - 18:39
1
risposta

Se un MiTM ha il certificato del server, in che modo il pinning del certificato può proteggerlo?

In uno scenario in cui client - > server tramite SSL, il server risponde con il set di cert (chain-of-trust) che contiene anche il certificato bloccato nel client. Supponiamo che la CA radice sia compromessa e che la configurazione sia que...
posta 06.04.2017 - 11:23