Https vs ssl pinning
问题描述:
我想知道常规SSL协议如何与SSL pining不同。通过设置https,我们可以使用SSL加密请求。中间人攻击的人将无法看到原始有效载荷。我也知道SSL固定是防止中间人攻击的另一种方法。但我的问题是,如果代理将始终只在https协议下看到加密数据,为什么我们仍然需要在客户端捆绑证书并拥有SSL固定? SSL pining能给我们带来什么好处?Https vs ssl pinning
答
证书锁定意味着客户端拥有“内置”服务器证书并且不使用您计算机的可信存储区。这意味着即使您的IT部门安装了自己的根证书,它也不会被使用。
一个特别聪明的IT部门可以在您的计算机上安装他们的根证书,使用像Charles这样的代理来即时创建虚假的站点证书,并且随时重新编写下载的程序,取代固定的证书,但大多数没有足够的复杂程度来完成最后一步。
你也可以从家里下载软件,在这种情况下,固定的证书会没问题,而且IT绝对不会看到传输中的内容。