我的公司遵循移动设备的证书固定。我们开始在我们的移动应用(类似于 google、facebook 和其他企业公司)中通过应用内浏览器添加登录。我与实现此功能的网络团队进行了交谈,他们从未听说过证书固定,这是移动设备上的常见做法。
我很好奇 chrome / safari 是否自动证书 pin,或者是否必须在浏览器中手动执行。
问问题
751 次
1 回答
1
我很好奇 chrome / safari 是否自动证书 pin,或者是否必须在浏览器中手动执行。
Chrome 支持HPKP,但已在桌面版和 Android 版的 Chrome 72 版本中删除。
您可以在此处查看支持它的浏览器的完整列表,现在看起来像这样:
但具有讽刺意味的是,这个网站说它在桌面上被删除了,但在 Android 上没有,而且 iOS Safari 似乎从来没有支持过。
他们从未听说过证书固定,这是移动设备上的常见做法。
我想提醒您,可以绕过证书固定,因此您不能将其用作唯一的安全措施。您可以在我写的一篇文章中阅读更多内容,绕过证书固定,了解如何在移动应用程序中绕过证书固定。
在本文中,您将学习如何重新打包移动应用程序以使其信任自定义 ssl 证书。这将允许我们绕过证书固定。
于 2019-09-27T17:19:28.293 回答