在使用 Certification pinning 开发时,没有第三方会信任 https 证书,而是将其存储在设备上。如果我对 android apk 进行逆向工程,我将无法访问此证书吗?我知道它是公开的,但我可以用它来进行中间人攻击,对吗?我应该把证书放在哪里,这样就没有人可以访问它了?我的 *.cer 证书文件位于 android 的资源文件夹中,但需要知道它在那里的安全性。
最佳答案
证书不是 secret 的,所以不用担心有人对您的证书进行逆向工程。要固定证书,只需将服务器的证书嵌入到您的应用程序中。然后在运行时,当服务器向您发送它的证书时,将它与您嵌入的证书进行比较以确保它们相同。在所有通常的 SSL/TLS 验证的之外执行此操作。
关于android - 证书固定 - 当恶意开发人员在 Android 中获取证书文件时会发生什么,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/34003710/