Crittercism弱SSL密码套件得到支持，并且缺少证书钉扎

Question

我们的安全小组对我们的移动应用程序进行了安全扫描，发现了以下漏洞：

Vulnerability Name: Weak SSL Cipher Suites are Supported
Vulnerability Type: attWeakCipherSuites
Calling Method: com.crittercism.internal.ca.a(com.crittercism.internal.bz):com.crittercism.internal.cb
Method Signature: javax.net.ssl.SSLParameters.setCipherSuites(java.lang.String[]):void
Location: (Unknown)
Issue Validation Parameter - Name: cipherSuites
Issue Validation Parameter - Value: [TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_128_GCM_SHA256,TLS_RSA_WITH_AES_256_GCM_SHA384,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_EMPTY_RENEGOTIATION_INFO_SCSV]

Vulnerability Name: Lack of Certificate Pinning
Vulnerability Type: attSSLCertificatePinning
Calling Method: com.crittercism.internal.ca.a(com.crittercism.internal.bz):com.crittercism.internal.cb
Method Signature: java.net.URL.openConnection():java.net.URLConnection
Location: (Unknown)
Issue Validation Parameter - Name: this
Issue Validation Parameter - Value: https://5-8-10-android.appload.ingest.crittercism.com/v0/config

有人能帮我解决上面的问题吗？

平台: Android 框架:反应-本机

Answer 1

你的问题

第一个问题

漏洞名称:弱SSL密码套件支持漏洞类型: attWeakCipherSuites

您只需传递最新推荐的密码套件，就可以阅读Mozilla站点中的密码。

目前最安全的是推荐用于现代兼容性的

TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256

第二个问题

漏洞名称:缺少证书钉扎漏洞类型: attSSLCertificatePinning

一旦您使用React，您可能想要尝试反应本机包：

这个包管理TLS证书钉扎在react本机用于Android和iOS。

您应该阅读包的自述文件以获得详细的说明，但作为一个快速开始，这可能会奏效：

npm install react-native-cert-pinner --save

然后是自动安装：

react-native link react-native-cert-pinner

否则，您应该尝试，从自述，手动安装的安卓。

走多一里路

如果您想了解为什么要使用证书钉扎，可以在以下两个部分阅读这篇博客文章：

什么是证书钉扎？

它将简要地解释它是什么，它是如何在一个高水平的工作，以及什么是重要的。

证书钉扎是将域名与预期的SSL/TLS证书相关联的机制，在技术上更准确地称为X.509证书。

为什么我们需要证书钉扎？

在这里，它解释了为什么需要使用，以防止基于信任的假设，并防止在敌对环境中使用。

虽然https在移动应用程序和API服务器之间的通信通道中为您提供了保密性、完整性和真实性，但是证书钉扎将保护这个相同的保证不被破坏。