能否在网络层严格执行证书钉扎？

Question

使用通过http与服务器交互的客户端java应用程序，是否有可能严格处理网络层上的证书钉扎？也就是说，如果证书被固定在处理客户端应用程序和服务器之间连接的负载均衡器上。

这篇文章听起来像是只适用于浏览器，而不是一个定制的应用程序。https://clouddocs.f5.com/training/community/irules/html/class2/module1/lab5.html#hpkp

据我所知(基于下面的一些链接)，这是必须通过应用程序完成的事情，不能只在网络级别上完成。但我想在这里提出这个问题来证实，因为我觉得我可能还在漏掉什么东西。

https://medium.com/@zhangqichuan/explain-ssl-pinning-with-simple-codes-eaee95b70507 https://www.owasp.org/index.php/Certificate_和_公共的_钥匙_钉扎 https://www.synopsys.com/blogs/software-security/ineffective-certificate-pinning-implementations/ 理解证书钉扎

Answer 1

TLS不是网络协议。对于网络来说，没有什么可以“锁定”到它原来的样子。

检查证书是由应用程序完成的，因此它必须由应用程序处理。

不过，钉扎绝对可以在自定义应用程序中实现。您只需包含与浏览器相同的功能。

OWASP有一些一般性的指导。