证书固定

背景

互联网上的安全通信是通过 TLS 完成的(人们经常错误地说成 “SSL” ，它是 TLS 的前身，由于安全漏洞而被弃用)。TLS中，就运用到了前文所说的非对称加密，所以也涉及公钥的安全性问题，同样是通过 CA 来解决的。

要使这一切正常工作，操作系统和可能的其他软件提供商需要从证书颁发机构获得一小部分证书-这些证书是TLS中其他一切都依赖的“根级”证书。当您通过TLS访问网站时，该网站提供的证书需要根据其中一个根级CA检查其签名以验证其有效性-这会断言您正在访问您认为正在访问的网站。

如前所述，TLS可以通过多种方式破坏，但最严重的是证书颁发机构（CA）被破坏，因为它影响到每个人。这样的安全事件已经发生过，最突出的例子是DigiNotar。

必须强调的是，如果任何一个CA被攻破，那么所有的TLS都会被破坏。你为你的网站使用了什么CA并不重要，重要的是你的攻击者使用了什么CA。

下图演示的，就是当有某个 CA‘ 被攻破后，拦截方通过修改发送方数据来欺骗接收方的流程。

lanjie.png

因为 CA' 也是被信任的 CA。上述修改后的数据 d' 可以被正常的校验签名，也就成功的欺骗了接收方，被接收方信任。

操作系统供应商/移动设备制造商对确保安全有着浓厚的兴趣：人们信任他们的产品对他们的业务成功非常重要。因此，当CA不再受信任时，他们通常会向客户推送安全更新。例如，当DigiNotar受到攻击时，苹果发布了更新。浏览器制造商也进行了类似的更新，正如这里所描述的那样。

因此，这给了我们一些保证，即使没有证书固定，我们仍然可以拥有良好的安全性。然而，有一些隐患：用户并不总是及时安装他们的安全更新，这其中就存在利用漏洞的时差。

证书固定的用途

证书固定是一种用于移动应用程序的技术，用于添加额外的保护层来保护通信安全。

证书固定的概念是使移动应用程序只信任与其通信的网站上使用的确切证书，从而不再依赖CA的安全性。实现这一点的一种方法（稍后将提到其他更实用的方法）是在开发期间在移动应用程序源文件中提供确切的证书（或其加密散列），并编写代码来验证此证书与网站在TLS通信的初始阶段发送的内容是否匹配。如果不存在完全匹配，则拒绝通信并不继续。

有些人使用证书钉住还有第二个原因，那就是防止人们通过拦截代理对你的移动应用进行反向工程。没有证书固定，任何人都可以使用众所周知的技术查看他们的移动应用程序和服务器之间的通信（例如charles）。这并不是破坏TLS-其他人无法检查您的通信，只有您可以通过在您的移动设备上安装拦截代理证书来检查您自己的通信。通过添加操作系统信任且您知道私钥而其他人都不知道的新证书，您就可以窥探TLS通信，但其他人都不能。如果由于应用程序停止拦截而固定了证书，则这不会直接起作用-它不信任新安装的证书，而是只信任固定的确切证书。

证书固定的缺点

证书固定的一个关键缺点是，更改证书意味着您需要发布新版本的应用程序，并强制将用户升级到最新版本。这是因为应用程序只使用固定的确切证书-如果使用任何其他证书，通信中断。如果您使用的是短期证书，那么这需要频繁的维护。

为了解决这个问题了，我们可以只固定公钥(与完整证书相反，即不固定CA信息及哈希加密串)，那么只要在新证书中使用相同的公钥，就可以在不发布新应用程序的情况下轮换证书(替换其他CA)。也就是说，您在证书过期时更改证书，但使用与以前相同的加密密钥。这会带来更友好的用户体验，但它要求管理证书的人员(通常是操作团队)遵循开发团队的要求。当然，如果有任何关键的变化，需要发布新的应用程序，并且需要进行强制升级。

这个操作对应了 Android manifest 网络安全配置中的 标签配置

其他方案

为了消除在发布新证书时升级应用程序的需要，但仍然希望获得比TLS更好的安全性。除了使用证书固定，我们还有另一种方案。

开发人员固定证书颁发机构（CA）的公钥。换句话说，除了安全所需的所有常规证书检查之外，应用程序现在将只接受由您允许的特定CA(或多个CA)签名的证书，而不接受其他CA签名的证书。

回想一下我们上面问题的讨论：如果任何一个CA被攻破，都会导致我们变得易受攻击。但是，通过固定我们信任的一个或多个CA的证书，我们就不再有这种风险。取而代之的是，我们信任的确切CA需要受到损害，才能使我们变得脆弱。

这不像完全证书锁定那样强大，因为如果信任链中的中间密钥受损，那么您仍然容易受到攻击。但是，它比仅使用TLS要好，因为现在您不依赖于所有CA都是安全的：相反，您只依赖您正在使用的一个或多个CA是安全的。

使用此方法时，仅当您更改CA或CA更改其公钥时，才需要更新应用程序。如果您的公司有限制CA的策略，那么您可以锁定这些CA的公钥，并且很可能在很长很长一段时间内都不需要担心更新应用程序或强制升级。这对那些使用短期证书的人特别有吸引力。

这个操作对应了 Android manifest 网络安全配置中的 标签配置