我正在阅读证书透明性(CT)及其监视证书使用和滥用的功能。我想知道CT是否可以在移动应用程序中检测到SSL Pinning绕过(对于Web应用程序而言)。请您对此给予启发。如果是,怎么办?如果没有,为什么?
答案 0 :(得分:1)
TL;DR
CT can not detect bypass of SSL Pinning in your mobile applications
CT和SSL固定是两个不同的东西。在SSL Pinning中,您要确保在TLS握手期间收到的证书哈希/公钥哈希与应用程序中固定的证书哈希/公钥哈希匹配,以确保您仅信任白名单证书,而不信任设备信任库中的所有内容,而通过CT我们执行加密检查以确保我们是否收到了有效的SCT(签名证书时间戳),并且日志服务器将证书条目推送到仅附加的公共日志中,以确保没有恶意的受信任CA或通过折衷为我们的域生成大量的证书一个CA。
此外,请注意,使用CT时,我们仅确保由PUBLIC CA颁发的证书是合法颁发的,而在执行MITM来拦截应用程序流量/绕过固定时,我们使用的是代理服务器的证书(Charles / Burp / ZAP),公共CA,因此不会通过CT强制执行检查