ios - 如何在 iOS 下获取 TrustKit 框架的 SSL pinning 的备份 pin?
<p><p>我目前正在实现 <a href="https://github.com/datatheorem/TrustKit" rel="noreferrer noopener nofollow">TrustKit framework</a>在我的 iOS 应用程序中为 SSL 连接启用 SPKI 固定。
我偶然发现了正确的 TrustKit 配置所必需的“备份引脚”。不幸的是,API 文档只说明需要一个备用引脚,但并没有告诉我它应该是什么。信任链如下所示:</p>
<pre><code>GeoTrust Global CA
| GeoTrust SSL CA - G3
| myServer.com
</code></pre>
<p>所以我将 myServer.com-certificate 的 SPKI 哈希固定为主要 pin。我的备用密码是什么?</p>
<p>很遗憾,我没有找到很多关于这个主题的信息。我发现的少数资源之一是 <a href="https://www.paypal-engineering.com/tag/trustkit/" rel="noreferrer noopener nofollow">this article</a>来自 PayPal 的 Hubert Le Van Gong。他谈到了备用别针:</p>
<p><em>“无论引脚值的数量是多少,备用引脚都是绝对必须具备的。请注意,备用引脚的存在是 HPKP 中的一项要求(即对于 web 案例),但它在移动应用程序空间。在这两种情况下,与备用 pin 对应的 key 对都应保持离线状态,直到主 pin/ key 出现问题。"</em></p>
<p>我特别不明白“应该保持离线”的部分。</p>
<p>关于要钉什么的问题:</p>
<p><em>根 CA 证书可能是最好的。因此,当固定到多个值(例如 2)时,我认为中间 CA – 根 CA 是一种合理的方法。也就是说,只要该证书是根 CA,只固定到单个证书也是完全可以的。</em></p>
<p>据此,我了解到我的备份 pin 可能是根 CA(准确地说是 SPKI 哈希)。但是我想知道中间甚至根 CA 如何成为好的引脚。据我了解,这将验证链中包含此中间/根 CA 的每个证书的固定。</p>
<p>我在这里做错了什么?</p></p>
<br><hr><h1><strong>Best Answer-推荐答案</ strong></h1><br>
<p><blockquote>
<p>I wonder how an intermediate or even root CA can be good pins. From my understanding this would validate the pinning for every certificate that has this intermediate/root CA in it's chain.</p>
<p>What am I getting wrong here?</p>
</blockquote>
<p>你一点也没有错。您选择的固定配置归结为您熟悉的安全级别和实用性之间的折衷。有 3 种选择和取舍:</p>
<h3>固定到叶证书(最大安全性)</h3>
<p>您对所有内容拥有完全的控制权和所有权,任何外部影响都不会损害您的 SSL,而不会损害您的基础架构。此外,任何一个证书的泄露都不会影响其他证书。</p>
<p>这里的缺点是需要大量敏感的基础架构来颁发、审核、管理和部署几十个证书。考虑一个拥有 5,000 个 SSL 证书的出版商,涵盖各种杂志和新闻 Assets 。</p>
<h3>固定到您拥有的中间 CA(非常高的安全性)</h3>
<p>固定到叶证书的效果非常相似,但如果您的中间证书被盗用,则所有颁发的证书都会被盗用。这是固定大量 SSL 证书的平衡方法。</p>
<p>缺点是获得其中之一的成本非常高。</p>
<h3>固定到受信任的根 CA(高安全性)</h3>
<p>如果您固定到不属于您的根 CA 或中间 CA,您实际上是在将 key 交给该证书的所有者。这<em>确实</em>意味着您正在接受根或中间为您的域颁发的任何证书。然而,现实情况是,这可能足以阻止大多数攻击。成熟的全局权威机构的商业模式以信任为基础。 <em>不太可能</em>根 CA 会为您的域颁发恶意证书。</p>
<p>这里有一些缺点:</p>
<ol>
<li>CA 员工 – 在 <a href="http://arstechnica.com/security/2015/10/still-fuming-over-https-mishap-google-gives-symantec-an-offer-it-cant-refuse/" rel="noreferrer noopener nofollow">rare cases</a>众所周知,CA 员工会做坏事。</li>
<li>国家行为者——我们不知道政府是否能够让全局权威机构颁发恶意证书。甚至可能在他们不知情的情况下通过非法的国内 spy 事件。</li>
</ol>
<p>最后,最常见的策略往往是固定到 2 或 3 个受信任的证书颁发机构。当任何一个 CA 遭到破坏或破坏时,您已经拥有其他受信任的证书并准备就绪。</p></p>
<p style="font-size: 20px;">关于ios - 如何在 iOS 下获取 TrustKit 框架的 SSL pinning 的备份 pin?,我们在Stack Overflow上找到一个类似的问题:
<a href="https://stackoverflow.com/questions/36744697/" rel="noreferrer noopener nofollow" style="color: red;">
https://stackoverflow.com/questions/36744697/
</a>
</p>
页:
[1]