是否应该将 https 证书写进客户端?

2023-02-03 18:12:41 +08:00
 yhvictor
rt
突然想到,比如 chrome 是把 google 证书写死的。
那么作为客户端( Android ,iOS ,Windows 等)开发的你,是否考虑过把对应后端证书直接写死写进 app 呢?
毕竟这样更容易避免系统层面或者根证书的劫持。
坏处自然是可能的 debug 开销跟证书更换代价。
1929 次点击
所在节点    信息安全
5 条回复
hanyuwei70
2023-02-03 18:16:04 +08:00
pin 证书嘛,游戏类常见……
看你需不需要保护客户端和服务端之间的交互了
另外 Chrome 我记得不是写死吧,是监控 Google 系服务证书必须是 GTS 签发的
icyalala
2023-02-03 18:16:26 +08:00
SSL Pinning 就是
hhjswf
2023-02-03 18:24:05 +08:00
好像为了防抓包是有人这么做的
dearmymy
2023-02-03 18:35:53 +08:00
双向证书校验可以,大部分没必要。
看你 app 安全度了。这种别人抓包就会逆向找到你证书,照样抓包。
Aurt
2023-02-03 18:50:34 +08:00
可以,但是没必要,楼上说的很对。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/912979

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX