SSL将签名证书固定在iOS上

您听到了很多关于如何使用SSL固定来提高应用程序安全性的信息。我一直认为SSL固定只有在使用自签名证书时才有用。使用由证书颁发机构签名的证书时，SSL固定是否有好处，或者CA是否使其变得不必要？

SSL/TLS存在一些问题，这些问题的根源是CA系统。默认情况下，浏览器信任一组CA。除了主机名等一些基本检查之外，SSL的真正威力来自于通过中介对证书进行验证，直到获得信任的证书

证书固定指定只信任给定网站的给定证书。也就是说，如果您收到一个由不同CA签署的“有效”证书（即使您信任该CA），您也不会信任该站点

简言之，CA已签署证书的事实并不减少证书固定的需要

例如：公司有时会拦截SSL。为此，它们实际上为客户机提供了一个不同的SSL证书，该证书对客户机试图访问的主机有效。因为他们可以将任何证书插入受信任的根目录（windows通过GPO），所以他们可以插入自己的证书，而不是主机颁发的实际证书。在这种情况下，SSL拦截对用户是透明的。他们仍然被颁发一个由他们信任的CA签署的“有效”证书（不管他们是否知道）。如果您一直在使用证书固定，新证书将被拒绝

证书固定有缺点，主要是在证书到期时管理证书等方面

有关更多信息，请参阅