SSL Pinning
Redphex 24.03.2016 - 15:19 2521 16
COLOSSUS
AdministratorFrickler
|
Du kannst die Fingerprints eines X.509-Zertifikats auch anders als via HPKP "pinnen", und es kommuniziert laengst nicht jede TLS nutzende Anwendung mit ihrer Gegenstelle via HTTPS. Man kann z. B. den Fingerprint des Server-Zertifikats auch nach dem TLS-Handshake mit einem lokal vorgehaltenen, erwarteten Wert vergleichen, und bei einer Nichtuebereinstimmung davon ausgehen, dass etwas faul ist. Problem dabei: Wenn der Server-Betreiber bzw. die CA zum Widerrufen der Gueltigkeit des Zertifikats gezwungen ist, bleibt die App bis zu einem Update des lokal vorgehaltenen, erwarteten Fingerprint-Werts mit einer "OMG, ich werde mitm'd!!1!"-Alarmmeldung duester.
|
hctuB
Bloody Newbie
|
Jep und da vor allem bei Mobile apps sdk's beliebt, ziemlich schwer dann wieder in Gang zu bringen.
Sdk Update --> app Update --> User muss dir App lokal updaten
|