問題タブ [certificate-pinning]

Retrofit を使用して Android で証明書のピン留めを使用しようとしています。Verisign が署名した有効な証明書を評価しようとしています。

次のエラーが表示されます。

HTTP が失敗しました: javax.net.ssl.SSLPeerUnverifiedException: 証明書に署名した信頼できる証明書が見つかりませんでした。

証明書ピンナーがデバイスの CA ルート証明書に対して評価できないのはなぜですか? デバイスの信頼にアクセスできませんか? または、デバイスの信頼に証明書チェーン全体が含まれていない可能性があります。しかし、SSL 通信が失敗しないのはなぜでしょうか?

これは、一般的な証明書のピン留めに関する問題ではありません。

Microsoft Azure SDK for iOS を利用する iOS アプリを作成しています。証明書のピン留めが実装されていないため、完全な SDK をダウンロードし、それを変更して独自のピン留めを追加しています。

OWASP によって提供されたサンプル コードに従っています。ターミナルで次のコードを実行するように求められます。

{url}.azurewebsites.netfor を交換して、それを実行しましたwww.random.org。いくつかの証明書がリストされた、適切な出力が返されます。

OWASP コードに基づいて、これを使用することになっているようです。

これについて私が懸念しているのCNは、 がワイルドカード用であるということ*.azurewebsites.netです。これは、この証明書を使用していて、誰かが別の Azure Web アプリを利用して中間者攻撃を試みた場合、その証明書のピン留めが成功し、アプリを保護できないということですか?

たとえば、アプリが にabc.azurewebsites.netあり、中間者攻撃が から実行されたxyz.azurewebsites.net場合、アプリはリクエストをブロックすることを認識しますか?