1

使用客户端证书进行身份验证后是否需要执行证书锁定?谁可以给我解释一下这个?

if (challenge.ProtectionSpace.AuthenticationMethod == NSUrlProtectionSpace.AuthenticationMethodClientCertificate)
{
    Console.WriteLine("Client Cert!");

    var options = NSDictionary.FromObjectAndKey(NSObject.FromObject(This._passphrase), SecImportExport.Passphrase);

    NSDictionary[] importResult;

    if (This?._certificate == null) return;
    if (This?._passphrase == null) return;

    var x509Certificate = new X509Certificate(This._certificate, This._passphrase);

    SecStatusCode statusCode = SecImportExport.ImportPkcs12(This._certificate, options, out importResult);
    var identityHandle = importResult[0][SecImportExport.Identity];
    var identity = new SecIdentity(identityHandle.Handle);
    var certificate = new SecCertificate(x509Certificate.GetRawCertData());

    SecCertificate[] certificates = { certificate };
    NSUrlCredential credential = NSUrlCredential.FromIdentityCertificatesPersistance(identity, certificates, NSUrlCredentialPersistence.ForSession);
                completionHandler(NSUrlSessionAuthChallengeDisposition.UseCredential, credential);

    return;
}

*Logic for SSL Pinning*

由于在“客户端证书请求和客户端身份验证”部分之后有一个返回语句,因此永远不会执行证书固定的逻辑,所以我问自己在使用客户端证书执行身份验证后这部分是否已过时。

4

1 回答 1

1

客户端证书用于针对服务器对客户端进行身份验证,仅此而已。相反,服务器证书用于确保您与正确的服务器通信。

发送客户端证书不能代替对正确服务器证书的正确检查。否则,中间攻击者可以简单地向客户端索要客户端证书,希望客户端接受攻击者伪造的服务器证书作为交换。

于 2016-04-18T16:30:44.700 回答