问题标签 [certificate-pinning]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
android - Android SSL 证书固定与改造
我想在 android 应用程序中进行证书固定。我对理解这一点感到非常沮丧。请帮我
我有的:-
- .cert 类型的证书文件。
- .key 类型的密钥文件,其中存储了私钥。
我没有将实施此证书的域名。我只有IP地址。我在我的项目中使用 okHttp 和改造。我在堆栈溢出中看到了很多示例来实现这一点。
但我没有得到一些东西:- 1. 如果我没有域名,是否可以将 ssl 实现为 IP 地址?2. pin字段包含什么,我没有任何私钥。我在哪里可以找到私钥(sha256/XXXXXXXXXX)?
react-native - 支持 Crittercism 弱 SSL 密码套件且缺少证书固定
我们的安全团队对我们的移动应用程序进行了安全扫描,发现了以下漏洞:
有人可以帮我解决上述问题吗?
平台:Android
框架:React-native
android - Android / iOS 应用内浏览器上的证书固定
我的公司遵循移动设备的证书固定。我们开始在我们的移动应用(类似于 google、facebook 和其他企业公司)中通过应用内浏览器添加登录。我与实现此功能的网络团队进行了交谈,他们从未听说过证书固定,这是移动设备上的常见做法。
我很好奇 chrome / safari 是否自动证书 pin,或者是否必须在浏览器中手动执行。
android - OkHttp3,改造和证书固定:如何使固定到期
在我的 Android 应用程序中,我需要使用证书固定。我正在使用Retrofit并OkHttp3使用 Web 服务,并且我已经定义了证书哈希码的固定。
我想强制证书固定直到证书到期,之后我只想避免证书固定(这是因为我想避免该应用程序在证书到期后停止工作)。有没有一种方法可以告诉OkHpttp3/Retrofit您具有所需的行为?
提前致谢
java - 如何防止根设备绕过 Android 中的证书固定?
我正在开发一个项目,该项目需要 Android 应用程序可以防止绕过证书固定/即使在有根设备中进行网络调用时也可以信任假证书。
到目前为止,我可以在设备未植根时做到这一点。我只需要防止一些绕过方法,比如在 Xposed 框架中使用 JustTrustMe。
我在网络调用期间使用改造和 okHttp。
我已经尝试在 okHttp 中使用 CertPinner,它的版本是 3.10.0,并且还尝试遵循 android 开发人员https://developer.android.com/training/articles/security-ssl#java中的代码
这是我尝试并从谷歌复制的示例代码
以及证书固定示例代码
两者都是最简单的代码,但都不起作用
我想让它至少防止一些绕过方法,比如在 Xposed 框架中使用 JustTrustMe/一些简单的自动绕过方法。
请问我是否可以这样做,我也尝试了一些库,例如 https://github.com/moxie0/AndroidPinning
由 JustTrustMe 建议
swift - alamofire 中的证书固定是 wrog
我想在Alamofire. 这是我的代码:
这是我的 info.plist ->
我得到这个错误:
load failed with error Error Domain=NSURLErrorDomain Code=-999 "cancelled"
我搜索了很多,但找不到任何可以解决我的问题的东西。我.crt使用. .der_open ssl
android - android中websockets的证书固定
我们在我的一个 Android 应用程序中使用 websockets。使用第 3 方库“ https://github.com/TakahikoKawasaki/nv-websocket-client ”。
现在我们想为 websocket 启用 ssl pinning。我们应该怎么做?
谢谢
ios - 如何使用公钥固定而不是证书固定
我一直在使用证书固定。但现在的要求是更改为公钥固定。我从别人那里拿了这个项目。我可以使用Trustkit实现公钥固定。但是如果我要使用 TrustKit,我必须更改很多实现。我添加了证书固定的代码。
我想使用 .pinPublicKeys 而不是 .pinCertificates。但是在这个实现中,我必须将证书添加到构建中,这是我试图避免的。我只想使用公钥哈希。对于 .pinPublicKey,我必须添加 [secKey]。我找不到将公共哈希密钥转换为 SecKey 的解决方案。请帮助解决这个问题。
}
ios - 如果我更新我的服务器证书并且我的应用程序正在执行证书固定会发生什么?
我有一个对服务器执行请求的应用程序。服务器有一个即将过期的证书。我的应用程序正在使用证书(不是公钥)执行 SSL 固定。
据说,他们将在服务器证书到期之前更新服务器证书,但我不确定仅此一项是否足够,我的固定证书是否仍然有效(因为证书已更新,他们声称这些证书将保持不变),或者我必须在应用程序中强制更改我的证书以保持固定工作。
我必须更改我的申请证书吗?
我已经用谷歌搜索了,但我无法做出明确的假设。
提前致谢。
ssl - 我正在使用 react_native_mqtt 并且需要在客户端和服务器之间实现安全的 mqtt 通信
在连接到 mqtt 服务器时,我将 useSSL 设置为 true。正在使用 443 端口。
我需要在此调用中使用 SSL 固定,设置 useSSL 标志是否足够?
如果没有,那么建议我使用 SSL pinning 与服务器安全连接的方式。
我没有处理与 react_native_mqtt 库中的证书固定相关的任何事情。
此外,建议使用节点的 tls.connect() 进行连接的库之一。如果有人用过这个,请分享。
谢谢