Cert Piningを使用したモバイルアプリ - 信頼できるCAとDMZボックスのSSL証明書を自分のCAと比較して

Question

私は証明書のピン割り当てを使用してモバイルアプリを開発しています。 DMZに私の要求をプロキシするボックスがあります。このサーバーには信頼できるCAの証明書が必要ですか、自分のCAから生成した証明書を使用できますか？

モバイルクライアントから信頼できるCAを使用するメリットはありますか？

また、私は自分のCAで生成された証明書を使用するいくつかの異なるサーバーにヒットします。私もそれらを固定する必要がありますか？私ははいと仮定しています。その両方を固定することは、ネットワーク内であっても最高です。しかし、必要ですか？

ありがとうございます！

Answer 1

あなた自身のCAを使用している場合は、自分で失効プロセスを管理することができましたが、これは難しいことです。

Answer 2

カスタムCAを使用する場合、それはあなたがどちらかに持っていることを意味します：

• 入額カスタムCAとのあなたのアプリを使用するすべてのモバイルデバイスモバイルデバイスを制御しない場合、これは不可能であり、デバイスのトラストストアにCAをプッシュすることは、とにかく責任になります。
• システムのデフォルトの証明書の検証を無効にして、カスタムCAがアプリケーションによって受け入れられ、サーバーのチェーンを再検証して固定します。この権利を得ることは不可能に近づくので、おそらく安全でないHTTPS接続に終わるでしょう。

信頼できるCAから証明書を購入してください。

プロキシと内部サーバー間の接続では、SSLのピン設定を実装できますが、モバイルクライアントと比較して攻撃対象が縮小されるため、優先順位は低くなります。