我有一个关于 SSL 固定及其对设备安全性影响的问题。在设备不使用SSL pinning的场景下,如果黑客干扰,设备仍然可以与真实服务器通信(通过更改网络等)。但是,如果黑客干扰使用 SSL pinning 的设备并更改设备上的公钥(例如使用 Frida),则该设备根本无法再与真实服务器通信(除非将其删除并重新下载,或者更新)。我的理解正确吗?如果是这样,SSL 固定不但不会增强安全性,反而会造成更大的安全漏洞吗?如果我的理解不正确的话,我哪里理解错了?我无法将设备端验证视为逻辑解决方案
TLS 旨在保护通信对等方之间之间的通信免受攻击者的攻击 - 这就是证书/密钥固定可以提供额外保护的地方,防止简单地信任任意公共 CA 颁发的证书。
在您的场景中,攻击者可以操纵客户端设备。如果是这种情况,您不能声称固定具有“对设备安全的影响” - 对设备安全的影响来自于攻击者破坏了设备。但是,如果攻击者破坏了通信的一个端点,那么 TLS 安全性就会被破坏,因为攻击者可以访问解密的通信。