Android 证书透明性能否检测移动应用程序中的SSL锁定旁路？_Android_Ios_Pinning_Certificate Transparency

Android 证书透明性能否检测移动应用程序中的SSL锁定旁路？

android ios

Android 证书透明性能否检测移动应用程序中的SSL锁定旁路？,android,ios,pinning,certificate-transparency,Android,Ios,Pinning,Certificate Transparency,我正在阅读证书透明度（CT）及其监控证书使用和滥用的功能。我想知道CT是否可以检测到移动应用程序中的SSL锁定旁路（在Web应用程序中）。请你在这方面给我一些启发。如果是，如何进行？若否，原因为何 TL;DR CT can not detect bypass of SSL Pinning in your mobile applications CT和SSL固定是两件不同的事情。在SSL固定中，您要确保TLS握手期间收到的证书哈希/公钥哈希与应用程序中固定的证书哈希匹配，以确保您只信任白名单证

我正在阅读证书透明度（CT）及其监控证书使用和滥用的功能。我想知道CT是否可以检测到移动应用程序中的SSL锁定旁路（在Web应用程序中）。请你在这方面给我一些启发。如果是，如何进行？若否，原因为何

TL;DR

CT can not detect bypass of SSL Pinning in your mobile applications

CT和SSL固定是两件不同的事情。在SSL固定中，您要确保TLS握手期间收到的证书哈希/公钥哈希与应用程序中固定的证书哈希匹配，以确保您只信任白名单证书，而不信任设备信任存储中的所有内容，而通过CT，我们执行加密检查，以确保是否收到有效的SCT（签名证书时间戳）和日志服务器将证书条目推送到一个仅附加的公共日志中，以确保没有恶意可信CA或通过CA的泄露为我们的域生成胭脂证书

此外，请注意，对于CT，我们仅确保公共CA颁发的证书是合法颁发的，而在执行MITM拦截应用程序流量/绕过锁定时，我们使用的是代理服务器的证书（Charles/Burp/ZAP），该证书不是公共CA，因此不会通过CT强制执行检查