Deepseek gibi uygulamalarda SSL sertifikası sabitlemesinin uygulanması, ortadaki insan (MITM) saldırılarını önleyerek güvenliği artırmak için belirli araç ve kütüphanelerin kullanılmasını içerir. SSL sertifikası sabitlemesi için önerilen bazı araçlar ve kütüphaneler:
Android uygulamaları için
1. OKHTTP Sertifika Pinner: OKHTTP, Android için sertifika sabitlemesini destekleyen popüler bir HTTP istemci kitaplığıdır. Sertifika sabitlemesini uygulamak için `Sertifika Certificner.Builder` kullanabilirsiniz. Bu yöntem, bir sunucu için beklenen sertifikaları veya genel anahtarları belirtmenizi sağlar ve yalnızca bir SSL el sıkışma sırasında kabul edilmesini sağlar [6].
2. TrustKit: Öncelikle iOS için bilinmesine rağmen, TrustKit Android için de uyarlanabilir. Beklenen genel anahtarı uygulamaya yerleştirerek ve SSL bağlantıları sırasında doğrulayarak genel anahtar sabitlemesini uygulamak için basit bir yol sağlar.
iOS uygulamaları için
1. Bununla birlikte, manuel kontroller gerektirir ve daha düşük seviyedir, bu da doğrudan uygulama için daha az uygun hale getirir [4].
2. Alamofire ve AFNetWorking: Bunlar, SSL sabitlemesini destekleyen iOS için popüler ağ kütüphaneleridir. Doğrudan nsurlsession kullanmaya kıyasla daha kolay entegrasyon sağlarlar. Alamofire Swift için uygundur, AFNetworking daha yaygın olarak objektif-C ile kullanılır [4].
3. TrustKit: Özellikle SSL sabitleme için tasarlanan TrustKit, iOS uygulamalarında genel anahtar sabitleme uygulama sürecini basitleştiren hafif bir çerçevedir. Beklenen genel anahtarı uygulamanıza yerleştirmenize ve SSL bağlantıları sırasında doğrulamanıza olanak tanır [4].
Dinamik Sertifika sabitleme
Hem Android hem de iOS için, Dinamik Sertifika sabitleme, uygulamaların bir kod güncellemesi gerektirmeden sertifika değişikliklerini işlemesine izin verdiği için faydalı olabilir. Onay gibi araçlar, gerekli PIN bilgilerini üreterek ve koruyarak dinamik sertifika sabitlemesinin yönetimini basitleştirmek için çözümler sunar [7].
Genel Hususlar
SSL sertifikası sabitleme uygularken, aşağıdakileri dikkate almak çok önemlidir:
- Sertifika ve genel anahtar sabitleme: genel anahtarın sabitlenmesi, uygulamayı güncellemeye gerek kalmadan sertifika rotasyonuna izin verdiği için, tüm sertifikayı sabitlemekten daha esnek ve bakımı daha kolaydır [2] [3].
- Sertifika Güncellemeleri: Sertifika rotasyonlarıyla uyumluluğu sağlamak ve uygulama kırılmasından kaçınmak için sabitlenmiş sertifikaları veya anahtarları düzenli olarak güncelleyin [2].
- Güvenlik Kütüphaneleri: Uygulama sürecini basitleştirmek ve sağlam güvenlik kontrollerinin mevcut olmasını sağlamak için yerleşik kütüphaneleri kullanın.
Genel olarak, araç veya kütüphane seçimi, kullanılan programlama dili ve istenen güvenlik ve bakım karmaşıklığı seviyesi gibi başvurunuzun özel gereksinimlerine bağlıdır.
Alıntılar:
[1] https://www.nowsecure.com/blog/2017/06/15/certificate-pinning-for-and-and-os-mobile-man-in-the-middle-attack-attack-attack-attack-attack-attack-attact
[2] https://sslinsights.com/what-is-ssl-pinning/
[3] https://www.wallarm.com/what/certificate-pinning
[4] https://www.guardsquare.com/blog/ios-ssl-certificate-pinning-bypassing
[5] https://quixxi.com/does-pinning-certicate-enhance-pplication-security/
[6] https://www.reddit.com/r/androiddev/comments/uuie96/what_is_the_bary_way_to_implement_ssl_pinning/
[7] https://www.linkedin.com/pulse/dynamic-certificate-pinning-secure-mobile-communication-lqlmc
[8] https://cloud.google.com/release-notes