Certificate Pinning是如何工作的?

最新推荐文章于 2023-10-27 16:33:34 发布
VIP文章 最新推荐文章于 2023-10-27 16:33:34 发布
阅读量4.2k 收藏 3
点赞数 1
分类专栏: Android 网络安全 文章标签: 安全 Java Android Kotlin 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pcsxk/article/details/103057491
版权

Certificate Pinning是什么,有什么用?

Certificate Pinning,或者有叫作SSL Pinning/TLS Pinning的,都是指的同一个东西,中文翻译成证书锁定,最大的作用就是用来抵御针对CA的攻击。在实际当中,它一般被用来阻止man-in-the-middle(中间人攻击)。

说起中间人攻击,可能不是那么直观,但是这一类工具我们可能经常会用到,如Mac平台的Charles和Windows平台的Fiddler。如果一个应用使用了Certificate Pinning技术,那么你使用前边说的工具是无法直接来调试/监控应用的网络流量的。

当应用通过HTTPS握手连接到Fidder/Charles时,应用会检查请求的response的证书,如果发现与预设的不一致,会拒绝后续的网络请求,从而增加应用与服务器的安全通信。

关于root系统可以突破上述的限制,则是另外一个话题,这里不做讨论。

为什么要用,我可以不用吗?

没有绝对的安全,用或者不用都是权衡各种利弊,最后的一个妥协的结果。

认为不应该使用的理由是:

  • 一般来说,操作系统自己的trust store就可以信赖了
  • 如果使用,应用需要在证书过期前更新证书,重新发版

认为应该使用的,可能是

  • 万一操作系统被破解,怎么办?就像上边提到的一样
  • 反正我的应用需要经常迭代,没关系
  • 公司的安全部门要求应用里边做Certificate Pinning (有些能自己掌控的就不要依赖被人的意味)

接下里,我们假定经过了各种权衡之后,我们同意后者。那么要怎么做呢?

好的,要怎么实现呢?

在做之前,我们先了解一下我们可以根据什么来Pinning?一般来说,可以直接Pin证书,或者Pin证书的public key。

这里以Android平台为例子,看看我们一般都是怎么做的。

"学院派"实现 - Pin证书

// Load CAs from an InputStream
// (could be from a resource or ByteArrayInputStream or ...)
val cf: CertificateFactory = CertificateFactory.getInstance("X.509")
// From https://www.washington.edu/itconnect/security/ca/load-der.crt
val caInput: InputStream = BufferedInputStream(FileInputStream("load-der.crt"))
val ca: X509Certificate = caInput.use {
    cf.generateCertificate(it) as X509Certificate
}
System.out.println("ca=" + ca.subjectDN)

// Create a KeyStore containing our trusted CAs
val keyStoreType = KeyStore.getDefaultType()
val keyStore = KeyStore.getInstance(keyStoreType).apply {
    load(null, null)
    setCertificateEntry("ca", ca)
}

// Create a TrustManager that trusts the CAs inputStream our KeyStore
val tmfAlgorithm: String = TrustManagerFactory.getDefaultAlgorithm()
val tmf: TrustManagerFactory = TrustManagerFactory.getInstance(tmfAlgorithm).apply {
    init(keyStore)
}

// Create an SSLContext that uses our TrustManager
val context
最低0.47元/天 解锁文章
FIMH
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
http_certificate_pinning:Flutter的Https证书固定
04-16
Http证书固定 Flutter的Https证书固定 该项目基于 任何帮助表示赞赏! 评论,建议,问题,公关! 入门 在flutter或dart项目中添加依赖项: dependencies : ... http_certificate_pinning : 1.0.4 获取证书指纹 要获取SHA256证书指纹,请在控制台中运行: openssl x509 -noout -fingerprint -sha256 -inform pem -in [certificate-file.crt] 结果就像: '59:58:57:5A:5B:5C:5D:59:58:57:5A:5B:5C:5D:59:58:57:5A:5B:5C:5D:59:58:57:5A :5B:5C:5D:59:58:57:5A:5B:5C:5D' 用法示例 使用迪奥 import 'package:http_ce
移动安全Certificate Pinning
ptwh0608的专栏
03-09 7759
移动安全CertificatePinning 背景: 项目组是为美国一商业银行开发移动支付类软件.提到银行类软件,大家第一反应都是安全性的要求特别高,的确在开发过程中,我们对安全方面也做了非常多的处理跟防护.这里先介绍下比较重要的一个——证书锁定 (CertificatePinning) 什么是CertificatePinning 在SSL/TLS通信中,客户端
证书锁定SSL Pinning
最新发布
RealGUO的博客
10-27 320
在公共网络中通知我们使用安全的SSL/TLS通信协议来进行通信,并且使用数字证书来提供加密和认证我们知道握手环节仍然面临(MIM中间人)攻击的可能性,因为CA证书签发机构也存在被黑客入侵的可能性,同时移动设备也面临内置证书被篡改的风险。证书锁定旨在解决移动端APP与服务端通信的唯一性实际通信过程中,如果锁定过程失败,那么客户端APP将拒绝针对服务器的所有 SSL/TLS 请求FaceBook/Twitter则通过证书锁定以防止Charles/Fiddler等抓包工具中间人攻击。
证书绑定(Certificate Pinning)才能有效避免中间人攻击的风险
htcj0110的专栏
04-29 2066
最近和一些朋友讨论App的安全性,大家都认为App着重的多半是操作接口,用户体验.鲜少留意到安全问题. 小弟就来分享一下何谓证书绑定(Certificate Pinning),初次接触这个名词的人可能不太理解它想表达的意涵.简单来说,它就是App可以有效避免中间人攻击的风险的强验证方式. 试想,即便一个App已有采用加密传输,因此即便被抓包,也无法得知传输内容.但若是未确实达成证书绑定,传输过...
flutter dio Https证书校验和certificate_pinning源码解析
a611510的博客
05-16 3123
在dio 里面有一个http_certificate_pinning 插件, 用来配置固定证书。 证书的的检查 来源于https 连接, https 比http 多了一个 安全机制的校验, 在http 连接时候就是以前老说的几次握手之类的, https 在此之前 会先去 ...
读OkHttp3源码(二):CertificatePinner(锁定证书)
challenge51all的专栏
10-09 7313
okhttp3 public final class CertificatePinner extends Object 类介绍: 该类用于约束哪些证书是可信的。 锁定证书可以防止对证书颁发机构相关的攻击。 它还阻止通过用户已知或未知的中间证书颁发机构建立的连接。 这个类目前锁定了一个证书的主题公钥信息,如Adam Langley的博客所述。公钥不是HTTP公钥锁定(HPKP)中的base64 ...
Android网络请求篇-OkHttp原理解析1(框架流程篇)
qq_42795723的博客
05-09 684
一直想写一篇 简洁而不失内涵 的OKHTTP源码分析,甚至从19年春节前就开始翻阅OkHttp的源码。但是赶上春节事多心杂,没能将心中所想梳理出来。 现在疫情当前,节约了外出活动的时间,静心打磨了此文,希望对看本文的小伙伴有所帮助,更希望 武汉坚强,祖国安康。 本文源码基于OkHttp3.14.6,该版本是Java版最新的一版,后续的4.*全面使用了Kotlin,如有需要可再进行分析。 针对OkHttp我打算开两篇进行分析。 第1篇分析整体的框架设计,以及大方向的请求流程。 第2篇分析具体拦截器的功能逻辑。
sslpinning实战
碎片的博客
11-18 2351
知己知彼,百战不殆。看看证书绑定是怎么实现的!
证书锁定Certificate Pinning技术
03-03 784
证书锁定Certificate Pinning技术 在中间人攻击中,攻击主机通常截断客户端和服务器的加密通信。攻击机以自己的证书替代服务器发给客户端的证书。通常,客户端不会验证该证书,直接接受该证...
网络安全】https与证书原理 | SSL Pinning及其绕过
Juruo@Security
08-05 6727
SSL Pinning | https协议与证书原理
certificatepinner:与NSUrlSession和NSUrlConnection一起使用的证书固定的Swift实现
05-17
证书拼版 与NSURLSession和NSURLConnection一起使用的证书固定的Swift实现 。 2017年1月9日:针对Swift 3.0进行了更新。 如果您想使用 2018-07-25:已针对Swift 4.0更新。 如果您想使用 如果您不使用或 ,则证书固定会非常困难,因为iOS不会公开任何API来获取证书信息。 正常的解决方案是引入一些openssl,但是说实话,那就过分了。 因此,这个图书馆。 哦,如果有人这样做,它将为我们(我)节省多少时间。 关于固定内容的注意事项 查看GitHub证书信息-单击锁。 您应该看到三个(或更多)证书级别。 github.com-这是“其”证书或叶子证书 DigiCert SHA2扩展验证服务器CA-这是证书颁发机构的叶节点 DigiCert High Assurance EV Root CA-这是根证书,它也位于您的浏览器受信
xamarin-cert-pinning:Xamarin示例应用程序,演示证书公共密钥固定
02-06
Xamarin证书公钥固定 这是一个Xamarin示例应用程序,演示了证书公共密钥固定。 请参阅以供参考。 这似乎是一个简单的话题,但是我很难找到任何可行的示例-特别是对于Xamarin应用程序。 我拼凑位从过去的经验,OWASP,,和谷歌建立使用Xamarin一个示例应用程序,将显示通过和失败例子证书在Android和iOS行动钉扎的。 我捆绑了一个Lookup.PublicKeys应用程序,以帮助您查找感兴趣的网站的公共密钥。 我希望此示例可以帮助其他人。 我不是安全专家,因此,如果您在我的示例实现中发现漏洞,请让我知道,提出问题,提交PR或最简单的方法。
android pinner ListView
09-22
pinner listview的通用实现方式
SSLPinning:HttpURLConnection SSL固定
05-11
SSLPinning HttpURLConnection透过凭证绑定方式作连线,在这是绑定的凭证,当使用Proxy(Ex. )拦截传输内容时会无法正常连线。 Network Security Config Android API 24以后才有的机制,利用script/cert.sh取得网站...
Android-SSL-Certificate-Pinning:一个实现 Moxie 证书固定库的示例 android 应用程序
06-10
Android-SSL-Pinning 一个实现 Moxie 的 SSL Pinning 库的示例 android 应用程序
信息安全_数据安全_AppSecEU2016-John-Kozyrakis-Certificate-Pinning.pdf
08-21
信息安全_数据安全_AppSecEU2016-John-Kozyrakis-Certificate-Pinning 信息保护 安全工作 安全现状 数据分析 安全架构
Eclipse抛出GC overhead limit exceeded异常问题的分析与解决
热门推荐
pcsxk的专栏
08-10 2万+
Eclipse抛出GC overhead limit exceeded异常问题的分析与解决有时在使用Eclipse开发当中,会遇到GC overhead limit exceeded的异常。 如下图 其实这个问题可以在网上找到很多解决办法,不过大部分都只是告诉你要怎么做,至于出现这种错误的原因以及为什么这么做则没有提及。解决办法: 将eclipse.ini文件的最后两行,一般默认为-Xms40
小米手机刷机&ROOT原理
pcsxk的专栏
01-02 2960
刷机&ROOT涉及到的工具有: 原版线刷包 (fastboot包) SuperSU TWRP(一个三方的Recovery Image, 注意选对型号) Android Image Kitchen XiaoMiFlash(其实是adb&fastboot的一个GUI外挂) MiFlash Unlock(小米手机bootloader解锁工具) 其实就是标准的fastboot oem lock &
so层修改sslpinning
07-27
SO层修改SSL pinning是指在操作系统的系统调用层面对SSL pinning进行修改。SSL pinning是一种安全机制,用于保护网络通信的安全性。 在SO层修改SSL pinning可以通过修改系统库或者Hook相关API来实现。一种常见的方法是通过Hook函数来修改SSL pinning的检查逻辑,绕过证书校验,从而绕过SSL pinning的保护。 具体实现的步骤如下: 1. 定位到SSL pinning相关的检查函数,常见的包括SSL_CTX_set_verify、SSL_get_verify_result等函数。 2. 使用Hook技术,在函数调用之前或之后注入自定义的代码逻辑。 3. 在Hook的代码逻辑中,可以修改函数的返回值或者控制流程,绕过SSL pinning的检查,实现信任任意证书。 4. 重新编译并替换系统库,或者使用LD_PRELOAD等机制加载修改后的共享库。 需要注意的是,修改SSL pinning可能会导致网络通信的不安全性,可能会使应用程序容易受到中间人攻击。因此,修改SSL pinning应该谨慎并且仅在合法的测试环境中使用。 总结来说,SO层修改SSL pinning是一种通过在系统调用层面修改相关API的实现方式,来绕过SSL pinning保护。但需要注意潜在的安全风险,并在合适的场景下使用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值