这是一个创建于 134 天前的主题,其中的信息可能已经有所发展或是发生改变。
自己写的程序需要做证书固定( SSL pin )防止中间人攻击,但是一般证书有效期就一年,过期后,客户端还要再更新就很麻烦……
23 条回复 • 2024-06-30 00:01:11 +08:00
 |
1
bearice 134 天前
你都 pin 证书了,那就自签一个呗,想签多久签多久。
|
 |
2
Xinu 134 天前
这肯定推荐自签证书,我都是签 20 年
|
 |
3
tool2dx 134 天前
标准 SSL pin 不太好用,安卓上有工具可以 remove the Certificate Pinning ,会修改一些 okhttp3 函数调用。
最好自己维护一个证书白名单列表。 |
 |
5
NewYear 134 天前
SSL 最长就是 13 个月,,,长了浏览器也不信任。你买多年的它也只会给你发一年的。
|
 |
6
retanoj 134 天前
|
 |
7
yinmin 134 天前 via iPhone
用证书的 pubkey 做 pin 字段,之后用原来的 csr 申请新证书,pubkey 不会变化的。
你也可以事先多做几个 csr ,然后自签名取到 pubkey ,然后都 ssl pin 到软件里,将来万一密钥 key 文件泄漏,换一个 csr 申请。 |
 |
9
mxT52CRuqR6o5 134 天前 via Android
做 ssl pin 无论如何都得存点什么才能叫 ssl pin 吧,你用系统根证书列表验证书不叫 ssl pin
|
|
13
Xinu 134 天前
|
 |
17
ho121 134 天前 via Android
@vfx666 客户端默认拒绝非信任的证书是为了防止有人使用野生证书做中间人攻击。而你都做 ssl pin 了,就不存在野生证书的问题了,直接接受自己的证书就行了
|
 |
19
liuw666 134 天前 via iPhone
客户端代码里可以设置信任自签证书的
|
|
20
liuw666 134 天前 via iPhone
不需要忽略证书错误,只信任你自己的那个就行
|
 |
22
arrow629 131 天前
@vfx666 你就忽略错误,WinHTTP 不是有办法拿到证书的上下文吗 https://learn.microsoft.com/en-us/windows/win32/winhttp/ssl-in-winhttp#:~:text=When%20using%20the,WINHTTP_OPTION_SERVER_CERT_CONTEXT%20flag%20instead. 拿到 CERT_CONTEXT structure 后,你用 openssl 解析判断是不是你的证书就行
|
Select Language