iOS证书固定和Amazon证书管理器

我在iOS和Amazon证书管理器中找不到关于证书固定的好信息

他们建议您不要针对ACM证书进行pin

我们建议您的应用程序不要锁定ACM证书

他们不推荐的原因是：

要续订证书，ACM将生成新的公私密钥对

相反，他们建议：

如果您使用的是公共证书，请将应用程序绑定到所有可用的Amazon根证书

我理解为什么不将锁定到ACM证书上-因为您必须使用新证书发布更新，这可能会导致客户端阻塞。您也不能锁定公钥，因为它将更改

我不明白的是，仅针对根证书进行钉扎是怎么回事？它还会阻止人类中间攻击吗？这怎么更安全

---

有人能更好地解释一下吗？

根证书上的pin不会更安全。我认为Amazon文档试图推荐的是一种在证书过期和续订时不会中断网络连接的方法

以下是本网站的引文，解释了不同类型的证书固定：

叶证书：叶证书是证书链中的顶级证书。 固定一个叶子证书使我们几乎完全确定 证书匹配。但是，如果您经常循环使用叶证书， 更新需要相当频繁地推出，以确保您的 客户的应用程序继续工作

中间证书：中间证书位于叶和叶之间 根证书。在这种情况下，锁定中间证书，您 信任中间证书颁发机构。 因此，您可以更频繁地更新服务器的叶证书，因为 证书的验证发生在中间证书上

根证书：最后，根证书来自受信任的证书 权威仅固定根证书就可以信任根证书 授权，以及根证书授权的所有中介机构 信任

希望这有帮助