Home Sign Up Sign In
yhvictor

是否应该将 https 证书写进客户端?

  •   
  •   yhvictor · Feb 3, 2023 via iPhone · 2685 views
    This topic created in 1220 days ago, the information mentioned may be changed or developed.
    rt
    突然想到,比如 chrome 是把 google 证书写死的。
    那么作为客户端( Android ,iOS ,Windows 等)开发的你,是否考虑过把对应后端证书直接写死写进 app 呢?
    毕竟这样更容易避免系统层面或者根证书的劫持。
    坏处自然是可能的 debug 开销跟证书更换代价。
  • 证书
  • 客户端
  • debug
  • Chrome
    5 replies    2023-02-03 18:50:34 +08:00
    hanyuwei70
        1
    hanyuwei70  
       Feb 3, 2023
    pin 证书嘛,游戏类常见……
    看你需不需要保护客户端和服务端之间的交互了
    另外 Chrome 我记得不是写死吧,是监控 Google 系服务证书必须是 GTS 签发的
    icyalala
        2
    icyalala  
       Feb 3, 2023
    SSL Pinning 就是
    hhjswf
        3
    hhjswf  
       Feb 3, 2023 via Android
    好像为了防抓包是有人这么做的
    dearmymy
        4
    dearmymy  
       Feb 3, 2023
    双向证书校验可以,大部分没必要。
    看你 app 安全度了。这种别人抓包就会逆向找到你证书,照样抓包。
    Aurt
        5
    Aurt  
       Feb 3, 2023
    可以,但是没必要,楼上说的很对。
    About   ·   Help   ·   Advertise   ·   Blog   ·   API   ·   FAQ   ·   Solana   ·   5465 Online   Highest 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 42ms · UTC 08:15 · PVG 16:15 · LAX 01:15 · JFK 04:15
    ♥ Do have faith in what you're doing.