我想知道常规SSL协议与SSL pining的区别。通过设置https,我们可以使用SSL加密请求。中间攻击的人将无法看到原始有效载荷。我也知道SSL钉扎是另一种防止中间人攻击的方法。但我的问题是,如果代理将始终只在https协议下看到加密数据,为什么我们仍然需要在客户端捆绑证书并具有SSL固定? SSL pining给我们带来了什么好处?
答案 0 :(得分:3)
证书锁定意味着客户端具有“内置”服务器证书,并且不使用计算机的可信存储。这意味着即使您的IT部门安装了自己的根证书,也不会使用它。
一个特别聪明的IT部门可以在您的计算机上安装他们的根证书,使用像Charles这样的代理来动态创建虚假站点证书,并动态重写您下载的程序,取代固定证书,但大多数都不是不够复杂,无法完成最后一步。
你可能也可以从家里下载软件,在这种情况下,固定的证书就可以了,IT部门永远不会看到传输内容。