是否应该将 https 证书写进客户端？

2023-02-03 18:12:41 +08:00

yhvictor

rt
突然想到，比如 chrome 是把 google 证书写死的。
那么作为客户端（ Android ，iOS ，Windows 等）开发的你，是否考虑过把对应后端证书直接写死写进 app 呢？
毕竟这样更容易避免系统层面或者根证书的劫持。
坏处自然是可能的 debug 开销跟证书更换代价。

1725 次点击

所在节点

5 条回复

hanyuwei70

2023-02-03 18:16:04 +08:00

pin 证书嘛，游戏类常见……
看你需不需要保护客户端和服务端之间的交互了
另外 Chrome 我记得不是写死吧，是监控 Google 系服务证书必须是 GTS 签发的

icyalala

2023-02-03 18:16:26 +08:00

SSL Pinning 就是

hhjswf

2023-02-03 18:24:05 +08:00

好像为了防抓包是有人这么做的

dearmymy

2023-02-03 18:35:53 +08:00

双向证书校验可以，大部分没必要。
看你 app 安全度了。这种别人抓包就会逆向找到你证书，照样抓包。

Aurt

2023-02-03 18:50:34 +08:00

可以，但是没必要，楼上说的很对。

第 1 页／共 1 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.