iOS 证书固定和亚马逊证书管理器

Question

我在 iOS 和 Amazon Certificate Manager 中找不到关于证书固定的好信息。

他们建议您不要锁定 ACM 证书。

https://docs.aws.amazon.com/acm/latest/userguide/acm-bestpractices.html#best-practices-pinning

我们建议您的应用不要固定 ACM 证书

他们不推荐它的原因是：

要续订证书，ACM 会生成一个新的公钥-私钥对。

相反，他们建议：

如果您使用公共证书，请将您的应用程序固定到所有可用的 Amazon 根证书。

我理解为什么不将固定到 ACM 证书 - 因为您将不得不使用新证书发布更新，这可能会导致客户端变砖。您也不能锁定公钥，因为它会改变。

我不明白的是如何只固定根证书？它还会阻止中间人攻击吗？这如何更安全？

谁能解释得更好？

Answer 1

固定根证书不会更安全。我认为亚马逊文档试图推荐的是一种在证书过期和更新的情况下不会中断网络连接的方法。

以下是该网站的引文，解释了不同类型的证书固定： https://carvesystems.com/news/cert_pin/

叶证书：叶证书是证书链中的顶级证书。 固定叶子证书使我们几乎可以完全确定 证书匹配。但是，如果您经常循环使用您的叶子证书， 更新需要相当频繁地推出，以确保您的 客户的应用程序继续工作。

中间证书：中间证书位于叶子和 根证书。在这种情况下，固定在中间证书上，你是 信任中间证书颁发机构。 因此，您可以更频繁地更新服务器的叶子证书，因为 证书验证发生在中间证书上。

Root Cert：最后，根证书来自受信任的证书 权威。单独固定根证书可以信任根证书 权威机构，以及根证书颁发机构的所有中介机构 信任。

希望对你有帮助