V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
yhvictor
V2EX  ›  信息安全

是否应该将 https 证书写进客户端?

  •  
  •   yhvictor · 2023-02-03 18:12:41 +08:00 via iPhone · 1700 次点击
    这是一个创建于 434 天前的主题,其中的信息可能已经有所发展或是发生改变。
    rt
    突然想到,比如 chrome 是把 google 证书写死的。
    那么作为客户端( Android ,iOS ,Windows 等)开发的你,是否考虑过把对应后端证书直接写死写进 app 呢?
    毕竟这样更容易避免系统层面或者根证书的劫持。
    坏处自然是可能的 debug 开销跟证书更换代价。
    5 条回复    2023-02-03 18:50:34 +08:00
    hanyuwei70
        1
    hanyuwei70  
       2023-02-03 18:16:04 +08:00
    pin 证书嘛,游戏类常见……
    看你需不需要保护客户端和服务端之间的交互了
    另外 Chrome 我记得不是写死吧,是监控 Google 系服务证书必须是 GTS 签发的
    icyalala
        2
    icyalala  
       2023-02-03 18:16:26 +08:00
    SSL Pinning 就是
    hhjswf
        3
    hhjswf  
       2023-02-03 18:24:05 +08:00 via Android
    好像为了防抓包是有人这么做的
    dearmymy
        4
    dearmymy  
       2023-02-03 18:35:53 +08:00
    双向证书校验可以,大部分没必要。
    看你 app 安全度了。这种别人抓包就会逆向找到你证书,照样抓包。
    Aurt
        5
    Aurt  
       2023-02-03 18:50:34 +08:00
    可以,但是没必要,楼上说的很对。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   2563 人在线   最高记录 6543   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 33ms · UTC 04:20 · PVG 12:20 · LAX 21:20 · JFK 00:20
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.