移动应用中证书锁定SSL锁定的详细说明

当SSL pin被翻译成中文时，证书被锁定并固定。其主要功能是将服务器提供的SSL证书嵌入到移动端开发的APP客户端中。当客户端发起请求时，可以通过比较内置证书和服务器端证书的内容来确定此连接的合法性。

SSL/TLS锁定提供了两种锁定方法:证书锁定和公钥锁定。文章的开头和概述实际上描述了证书锁定。

证书锁定:我们需要嵌入APP代码，只接受指定域名的证书，不接受任何操作系统或浏览器内置的CA根证书对应的证书。通过这种授权方式，保证了APP与服务器之间通信的唯一性和安全性，所以可以保证我们的手机APP与服务器(如API网关)之间的通信绝对安全。但是CA颁发的证书有有效期问题，所以缺点是证书更新后需要重新内置到APP中。

公钥锁定:提取证书中的公钥，内置到手机APP中，通过与服务器比较公钥值来验证连接的有效性。当我们制作证书密钥时，公钥可以在证书更新前后保持不变(即密钥对保持不变)，这样就可以避开证书的有效期。

SSL固定的好处之一是它创建了一个黑客必须克服的层来破坏您的应用程序。他们将很难找到可利用的漏洞并将其用作应用程序功能的后门。

这几篇文章你可能也喜欢：

• 暂无相关推荐文章

本文由主机参考刊发，转载请注明：移动应用中证书锁定SSL锁定的详细说明 https://zhujicankao.com/91068.html