0

証明書のピン留めを使用してモバイルアプリを開発しています。リクエストをプロキシするボックスを DMZ に配置します。このサーバーには信頼できる CA からの証明書が必要ですか、それとも自分の CA から生成したものを使用できますか?

モバイル クライアントから信頼できる CA を使用する利点は何ですか?

また、後で独自の CA 生成証明書を使用するいくつかの異なるサーバーにヒットします。それらも固定する必要がありますか?はい、ネットワーク内でも両方を固定するのが最善であると思います。しかし、必要ですか?

ありがとう!

4

2 に答える 2

0

カスタム CA を使用する場合は、次のいずれかを行う必要があります。

  • カスタム CA を使用してアプリを使用するすべてのモバイル デバイスをプロビジョニングします。モバイル デバイスを管理していない場合、これは不可能であり、CA をデバイスのトラスト ストアにプッシュすることは、いずれにせよ責任になります。
  • カスタム CA がアプリによって受け入れられるように、システムのデフォルトの証明書の検証を無効にしてから、サーバーのチェーンを再検証し、ピニングを行います。これを正しく行うことはほぼ不可能であるため、安全でない HTTPS 接続になる可能性が高くなります。

信頼できる CA から証明書を購入してください。

プロキシと内部サーバー間の接続については、SSL ピニングを実装できますが、モバイル クライアントと比較して攻撃面が減少するため、優先度は低くなります。

于 2016-05-02T16:26:20.010 に答える
0

提供した独自の CA を使用して失効プロセスを自分で管理する場合、これは困難です。

于 2016-04-27T22:48:12.833 に答える