证书锁定(SSL/TLS Pinning)顾名思义,将服务器提供的SSL/TLS证书内置到移动端开发的APP客户端中,当客户端发起请求时,通过比对内置的证书和服务器端证书的内容,以确定这个连接的合法性。
证书锁定(SSL/TLS Pinning)顾名思义,将服务器提供的SSL/TLS证书内置到移动端开发的APP客户端中,当客户端发起请求时,通过比对内置的证书和服务器端证书的内容,以确定这个连接的合法性。
1 概述在公共网络中通知我们使用安全的SSL/TLS通信协议来进行通信,并且使用数字证书来提供加密和认证,在《HTTPS入门, 图解SSL从回车到握手》过程中我们知道握手环节仍然面临(MIM中间人)攻击的可能性,因为CA证书签发机构也存在被黑客入侵的可能性,同时移动设备也面临内置证书被篡改的风险。 2 证书锁定原理证书锁定(SSL/TLS Pinning)提供了两种锁定方式: Certificate Pinning 和 Public Key Pinning,文头和概述描述的实际上是Certificate Pinning(证书锁定)。
2.1 证书锁定我们需要将APP代码内置仅接受指定域名的证书,而不接受操作系统或浏览器内置的CA根证书对应的任何证书,通过这种授权方式,保障了APP与服务端通信的唯一性和安全性,因此我们移动端APP与服务端(例如API网关)之间的通信是可以保证绝对安全。但是CA签发证书都存在有效期问题,所以缺点是在证书续期后需要将证书重新内置到APP中。
2.2 公钥锁定公钥锁定则是提取证书中的公钥并内置到移动端APP中,通过与服务器对比公钥值来验证连接的合法性,我们在制作证书密钥时,公钥在证书的续期前后都可以保持不变(即密钥对不变),所以可以避免证书有效期问题。
3 证书锁定指纹(Hash)3.1 获取移动端所需证书## 在线读取服务器端.cer格式证书openssl s_client -connect infinisign.com:443 -showcerts < /dev/null | openssl x509 -outform DER > infinisign.der## 提取证书的摘要hash并查看base64格式openssl dgst -sha256 -binary infinisign.der | openssl enc -base64wLgBEAGmLltnXbK6pzpvPMeOCTKZ0QwrWGem6DkNf6o=所以其中的wLgBEAGmLltnXbK6pzpvPMeOCTKZ0QwrWGem6DkNf6o=就是我们将要进行证书锁定的指纹(Hash)信息。
3.2 获取移动端所需公钥## 在线读取服务器端证书的公钥openssl x509 -pubkey -noout -in infinisign.der -inform DER | openssl rsa -outform DER -pubin -in /dev/stdin 2>/dev/null > infinisign.pubkey## 提取证书的摘要hash并查看base64格式openssl dgst -sha256 -binary infinisign.pubkey | openssl enc -base64bAExy9pPp0EnzjAlYn1bsSEGvqYi1shl1OOshfH3XDA=所以其中的bAExy9pPp0EnzjAlYn1bsSEGvqYi1shl1OOshfH3XDA=就是我们将要进行证书锁定的指纹(Hash)信息。
4 总结