证书透明性可以检测移动应用程序中绕过SSL钉住吗？

Question

我正在阅读证书透明度(CT)及其监控证书使用和滥用的功能。我想知道CT是否可以在移动应用程序中检测到绕过SSL钉住(对于Web应用程序而言)。请您在这一点上给我一些启发。如果是，是如何实现的？若否，原因何在？

Answer 1

TL;DR

CT can not detect bypass of SSL Pinning in your mobile applications

CT和SSL锁定是两件不同的事情。在SSL锁定中，您确保在TLS握手期间收到的证书散列/公钥散列与应用程序中固定的散列相匹配，以确保您仅信任白名单上的证书，而不是信任设备信任存储中的所有内容，而通过CT，我们执行加密检查，以确保我们是否收到有效的SCT(签名的证书时间戳)，日志服务器将证书条目推送到公共的仅附加日志中，以确保恶意的可信CA或CA的妥协不会为我们的域生成恶意证书。

此外，请注意，使用CT时，我们仅确保由公共CA颁发的证书是合法颁发的，而在执行MITM以拦截应用程序流量/绕过锁定时，我们使用代理服务器(Charles/Burp/ZAP)的证书，该证书不是公共CA，因此不会通过CT强制执行检查