Может ли прозрачность сертификата обнаружить обход SSL Pinning в мобильных приложениях?

Question

Может ли прозрачность сертификата обнаружить обход SSL Pinning в мобильных приложениях?

Я читал "Прозрачность сертификатов" (CT) и ее возможности по отслеживанию использования и злоупотребления сертификатами. Мне интересно, может ли CT обнаружить обход SSL Pinning в мобильном приложении (в случае веб-приложения). Прошу вас просветить меня по этому поводу. Если да, то как? если нет, то почему?

2

android ios pinning certificate-transparency

Источник

user9303201 25 апр '20 в 11:44

1 ответ

Другие вопросы по тегам android ios pinning certificate-transparency

user8690903 07 июл '20 в 16:49 2020-07-07 16:49 · Answer 1 · 2020-07-07 16:49

TL;DR

CT can not detect bypass of SSL Pinning in your mobile applications

CT и SSL Pinning - это разные вещи. В SSL-закреплении вы гарантируете, что любой хэш сертификата / хэш открытого ключа, полученный во время подтверждения TLS, совпадает с тем, который закреплен в приложении, чтобы гарантировать, что вы доверяете только сертификату из белого списка вместо того, чтобы доверять всему в хранилище доверенных сертификатов устройства, тогда как через CT мы выполняем криптографические проверяет, получили ли мы действительный SCT(временная метка подписанного сертификата), и сервер журнала отправил записи сертификата в общедоступный журнал, предназначенный только для добавления, чтобы убедиться, что для наших доменов не сгенерирован вредоносный сертификат доверенного центра сертификации или через компрометацию CA.

Также обратите внимание, что с CT мы только гарантируем, что сертификаты, выданные ОБЩЕСТВЕННЫМИ ЦС, были выпущены законно, тогда как при выполнении MITM для перехвата трафика приложения / обхода закрепления мы используем сертификат прокси-сервера (Charles/Burp/ZAP), который не является общедоступным ЦС. и, следовательно, проверки не выполняются через CT