Certificate Pinning是如何工作的?

最新推荐文章于 2025-03-20 00:00:00 发布
最新推荐文章于 2025-03-20 00:00:00 发布
阅读量4.9k 收藏 4
点赞数 1
分类专栏: Android 网络安全 文章标签: 安全 Java Android Kotlin 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pcsxk/article/details/103057491
版权
本文介绍了Certificate Pinning的概念,作用以及为何要使用它来抵御中间人攻击。文章探讨了实施Certificate Pinning的不同方法,包括Android的'学院派'实现、简单配置文件实现和OkHttp的实现。此外,还解释了Pinning的工作原理,并提供了相关资源以供深入学习。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Certificate Pinning是什么,有什么用?

Certificate Pinning,或者有叫作SSL Pinning/TLS Pinning的,都是指的同一个东西,中文翻译成证书锁定,最大的作用就是用来抵御针对CA的攻击。在实际当中,它一般被用来阻止man-in-the-middle(中间人攻击)。

说起中间人攻击,可能不是那么直观,但是这一类工具我们可能经常会用到,如Mac平台的Charles和Windows平台的Fiddler。如果一个应用使用了Certificate Pinning技术,那么你使用前边说的工具是无法直接来调试/监控应用的网络流量的。

当应用通过HTTPS握手连接到Fidder/Charles时,应用会检查请求的response的证书,如果发现与预设的不一致,会拒绝后续的网络请求,从而增加应用与服务器的安全通信。

关于root系统可以突破上述的限制,则是另外一个话题,这里不做讨论。

为什么要用,我可以不用吗?

没有绝对的安全,用或者不用都是权衡各种利弊,最后的一个妥协的结果。

认为不应该使用的理由是:

  • 一般来说,操作系统自己的trust store就可以信赖了
  • 如果使用,应用需要在证书过期前更新证书,重新发版

认为应该使用的,可能是

  • 万一操作系统被破解,怎么办?就像上边提到的一样
  • 反正我的应用需要经常迭代,没关系
  • 公司的安全部门要求应用里边做Certificate Pinning (有些能自己掌控的就不要依赖被人的意味)

接下里,我们假定经过了各种权衡之后,我们同意后者。那么要怎么做呢?

好的,要怎么实现呢?

在做之前,我们先了解一下我们可以根据什么来Pinning?一般来说,可以直接Pin证书,或者Pin证书的public key。

这里以Android平台为例子,看看我们一般都是怎么做的。

"学院派"实现 - Pin证书

// Load CAs from an InputStream
// (could be from a resource or ByteArrayInputStream or ...)
val cf: CertificateFactory = CertificateFactory.getInstance("X.509")
// From https://www.washington.edu/itconnect/security/ca/load-der.crt
val caInput: InputStream = BufferedInputStream(FileInputStream("load-der.crt"))
val ca: X509Certificate = caInput.use {
    cf.generateCertificate(it) as X509Certificate
}
System.out.println("ca=" + ca.subjectDN)

// Create a KeyStore containing our trusted CAs
val keyStoreType = KeyStore.getDefaultType()
val keyStore = KeyStore.getInstance(keyStoreType).apply {
    load(null, null)
    setCertificateEntry("ca", ca)
}

// Create a TrustManager that trusts the CAs inputStream our KeyStore
val tmfAlgorithm: String = TrustManagerFactory.getDefaultAlgorithm()
val tmf: TrustManagerFactory = TrustManagerFactory.getInstance(tmfAlgorithm).apply {
    init(keyStore)
}

// Create an SSLContext that uses our TrustManager
最低0.47元/天 解锁文章
Charles抓包:配置接口断点Breakpoint【应用场景:App联调测试】(绕过Certificate Pinning的方案)
专注于计算机研发知识和资讯分享
10-10 1万+
支持拦截SSL请求真实设备上的设置方法如果要在真实设备上拦截SSL连接,需要安装证书,从http://charlesproxy.com/charles.crt下载即可。
certificatepinner:与NSUrlSession和NSUrlConnection一起使用的证书固定的Swift实现
05-17
证书拼版 与NSURLSession和NSURLConnection一起使用的证书固定的Swift实现 。 2017年1月9日:针对Swift 3.0进行了更新。 如果您想使用 2018-07-25:已针对Swift 4.0更新。 如果您想使用 如果您不使用或 ,则证书固定会非常困难,因为iOS不会公开任何API来获取证书信息。 正常的解决方案是引入一些openssl,但是说实话,那就过分了。 因此,这个图书馆。 哦,如果有人这样做,它将为我们(我)节省多少时间。 关于固定内容的注意事项 查看GitHub证书信息-单击锁。 您应该看到三个(或更多)证书级别。 github.com-这是“其”证书或叶子证书 DigiCert SHA2扩展验证服务器CA-这是证书颁发机构的叶节点 DigiCert High Assurance EV Root CA-这是根证书,它也位于您的浏览器受信
xamarin-cert-pinning:Xamarin示例应用程序,演示证书公共密钥固定
02-06
Xamarin证书公钥固定 这是一个Xamarin示例应用程序,演示了证书公共密钥固定。 请参阅以供参考。 这似乎是一个简单的话题,但是我很难找到任何可行的示例-特别是对于Xamarin应用程序。 我拼凑位从过去的经验,OWASP,,和谷歌建立使用Xamarin一个示例应用程序,将显示通过和失败例子证书在Android和iOS行动钉扎的。 我捆绑了一个Lookup.PublicKeys应用程序,以帮助您查找感兴趣的网站的公共密钥。 我希望此示例可以帮助其他人。 我不是安全专家,因此,如果您在我的示例实现中发现漏洞,请让我知道,提出问题,提交PR或最简单的方法。
证书锁定Certificate Pinning技术
03-03 898
证书锁定Certificate Pinning技术 在中间人攻击中,攻击主机通常截断客户端和服务器的加密通信。攻击机以自己的证书替代服务器发给客户端的证书。通常,客户端不会验证该证书,直接接受该证...
网络协议抓取与分析(SSL Pinning突破)
最新发布
好看资源网的博客
03-20 813
15年互联网开发、带过10-20人的团队,多次帮助公司从0到1完成项目开发,在TX等大厂都工作过。本章实验需在授权测试环境进行,建议使用自建服务或开源API作为目标。禁止对未授权商业服务实施网络攻击,所有抓包操作需符合当地法律法规。:Header/Body格式、编码方式(JSON/Protobuf)使用Wireshark捕获原始TCP/UDP流量。:Token生成、签名算法、时间戳验证。:AES密钥交换、RSA非对称加密。绕过主流SSL Pinning实现。通过Frida提取TLS会话密钥。
移动安全Certificate Pinning
ptwh0608的专栏
03-09 8030
移动安全CertificatePinning 背景: 项目组是为美国一商业银行开发移动支付类软件.提到银行类软件,大家第一反应都是安全性的要求特别高,的确在开发过程中,我们对安全方面也做了非常多的处理跟防护.这里先介绍下比较重要的一个——证书锁定 (CertificatePinning) 什么是CertificatePinning 在SSL/TLS通信中,客户端
证书绑定(Certificate Pinning)才能有效避免中间人攻击的风险
htcj0110的专栏
04-29 2220
最近和一些朋友讨论App的安全性,大家都认为App着重的多半是操作接口,用户体验.鲜少留意到安全问题. 小弟就来分享一下何谓证书绑定(Certificate Pinning),初次接触这个名词的人可能不太理解它想表达的意涵.简单来说,它就是App可以有效避免中间人攻击的风险的强验证方式. 试想,即便一个App已有采用加密传输,因此即便被抓包,也无法得知传输内容.但若是未确实达成证书绑定,传输过...
http_certificate_pinning:Flutter的Https证书固定
04-16
http_certificate_pinning : 1.0.4 获取证书指纹 要获取SHA256证书指纹,请在控制台中运行: openssl x509 -noout -fingerprint -sha256 -inform pem -in [certificate-file.crt] 结果就像: '59:58:57:5A:5B...
Android-SSL-Certificate-Pinning:一个实现 Moxie 证书固定库的示例 android 应用程序
06-10
**Android SSL 证书固定(Certificate Pinning)** 在移动应用开发中,尤其是涉及到敏感数据传输时,确保网络通信的安全性至关重要。SSL(Secure Sockets Layer)证书固定是一种加强网络安全的技术,它防止中间人...
信息安全_数据安全_AppSecEU2016-John-Kozyrakis-Certificate-Pinning.pdf
08-21
【证书固定(Certificate Pinning)】是信息安全领域中一种用于增强数据安全的技术,特别是在移动应用安全和云数据库保护中有着重要应用。它涉及到对服务器身份的验证,旨在防止中间人攻击,减少对传统证书颁发机构...
Certificate Pinning in Android
omnispace的博客
08-02 701
Background Generally what happens in a https connections is that client asks for SSL certificate from the SSL compliant server it is communicating with over https. Server will provide a certificate
android pinner ListView
09-22
pinner listview的通用实现方式
CA Certificate
01-09
Security in Networked Computed System OpenSSL Lab Session#6 Certificate Management
学习okhttp wiki--HTTPS
weixin_30411997的博客
11-17 181
HTTPS   OkHttp尝试平衡两个相互竞争的要素: 连通性(Connectivity):连接到尽可能多的服务器。这包括运行最新版本 boringssl 的服务器和不太过时的老版本 OpenSSL 的服务器。 连接的安全性(Security):这包括远程web服务器证书验证,和对私密数据交换的强加密。   在与HTTPS服务器协商一个连接时,OkHttp需要知道提供哪种TLS版本(TLS ...
Android证书锁定 Certificate Pinning
shenhe123的博客
01-07 797
中间人攻击(MITM)是一种狡猾且危险的网络威胁,可能严重破坏用户的在线安全和隐私。在这种攻击中,未经授权的第三方截取并窃听两个相信彼此直接连接的各方之间的通信,通常是用户和受信任的服务器或网站。攻击者潜入通信流的中心位置,因此得名“中间人”。证书锁定是一种安全实践,限制应用程序从服务器接受的可信数字证书的数量,以建立安全连接。与仅依赖公钥基础设施(PKI)范 paradigm 不同,PKI中有大量证书颁发机构(CA)发行证书,证书锁定要求应用程序仅信任与受信任机构相关联的某些证书或公钥。
Certificate_and_Public_Key_Pinning
03-18 466
在实际项目代码审计中发现,目前很多手机银行虽然使用了https通信方式,但是只是简单的调用而已,并未对SSL证书有效性做验证。在攻击者看来,这种漏洞让https形同虚设,可以轻易获取手机用户的明文通信信息。 手机银行开发人员在开发过程中为了解决ssl证书报错的问题(使用了自己生成了证书后,客户端发现证书无法与系统可信根CA形成信任链,出现了 CertificateException等异常。)
HTTPS ConnectionSpec CertificatePinner
自由空间
02-23 968
OkHttp尝试平衡两个相互竞争的要素:连通性(Connectivity):连接到尽可能多的服务器。这包括运行最新版本 boringssl 的服务器和不太过时的老版本 OpenSSL 的服务器。连接的安全性(Security):这包括远程web服务器证书验证,和对私密数据交换的强加密。  在与HTTPS服务器协商一个连接时,OkHttp需要知道提供哪种TLS版本(TLS versions)和密码套件
iOS Application Security Part 36 – Bypassing Certificate Pinning Using SSL Kill Switch
zhangmiaoping23的专栏
12-31 1237
转:http://highaltitudehacks.com/2014/11/03/ios-application-security-part-36-bypassing-certificate-pinning-using-ssl-kill-switch/ In this article, we will look at how we can analyze network traffic for
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值