Development

憑證固定:TLS 安全的雙刃劍

Created   Updated
TLS SSL 憑證 安全 行動應用 固定 真實經歷 個人經驗
  1. 理解憑證鏈
  2. 跨平台的憑證固定
  3. 固定困境:固定什麼
  4. 公鑰固定:推薦方法
  5. 通用名稱陷阱:不要透過 CN 固定
  6. 真實世界的固定失敗
  7. 險些失誤:測試拯救了一切
  8. 測試憑證固定:不要走捷徑
  9. 何時使用憑證固定
  10. 憑證固定的替代方案
  11. 結論

憑證固定作為一種安全技術應運而生,用於對抗中間人攻擊和流氓憑證頒發機構。透過將預期的憑證資訊硬編碼到應用程式中,開發人員可以確保只有在與合法伺服器通訊時連線才會成功。然而,這種增強的安全性伴隨著顯著的營運複雜性和風險。配置錯誤的固定或過期的憑證可能會導致應用程式無法使用,需要緊急更新並讓使用者感到沮喪。

本文探討了跨瀏覽器、行動應用程式和後端服務的憑證固定。我們將剖析憑證鏈層次結構,評估要固定的元素,並理解安全性與營運靈活性之間的權衡。透過真實事件和產業實務,我們揭示了為什麼憑證固定既強大又危險。

理解憑證鏈

在深入研究固定策略之前,理解憑證鏈結構至關重要。TLS 憑證不是孤立存在的——它們形成了從伺服器憑證到受信任根憑證頒發機構的分層信任鏈。

三層層次結構

TLS 憑證鏈通常由三個級別組成,每個級別都有不同的用途:

🔗 憑證鏈結構

葉憑證(終端實體憑證)

  • 安裝在 Web 伺服器或應用程式上的憑證
  • 包含你的網域名稱(例如 example.com)
  • 有效期最短(目前最長 398 天,到 2029 年將縮短至 47 天)
  • 由中繼憑證簽署
  • 鏈中最頻繁更換的憑證

中繼憑證

  • 由根 CA 頒發用於簽署葉憑證
  • 充當根憑證和葉憑證之間的緩衝
  • 典型有效期:3-10 年
  • 可以在不影響根憑證信任的情況下被撤銷
  • 鏈中可能存在多個中繼憑證

根憑證

  • 位於鏈頂部的自簽憑證
  • 嵌入在作業系統和瀏覽器中
  • 有效期極長:15-25 年
  • 由於分發挑戰很少更改
  • 被攻破需要作業系統/瀏覽器更新才能移除

憑證鏈透過加密簽章工作。根 CA 簽署中繼憑證,中繼憑證簽署你的葉憑證,客戶端驗證鏈上的每個簽章,直到到達其憑證儲存中的受信任根憑證。

為什麼存在這種層次結構

三層結構不是任意的——它提供了關鍵的營運和安全優勢:

🛡️ 層次結構優勢

根憑證保護

  • 根私鑰保存在安全設施的離線環境中
  • 最大限度地減少被攻破的風險
  • 減少頻繁簽署操作帶來的營運風險

營運靈活性

  • 中繼憑證可以在不更換根憑證的情況下被撤銷
  • 可以在不需要作業系統/瀏覽器更新的情況下頒發新的中繼憑證
  • 允許 CA 分段營運(地理位置、產品線)

風險隔離

  • 中繼憑證被攻破限制了損害範圍
  • 葉憑證被攻破只影響特定網域
  • 分層安全減少了單點故障

在決定固定什麼時,這種層次結構變得至關重要。每個級別在安全性和營運靈活性之間提供不同的權衡。

跨平台的憑證固定

憑證固定的實作在瀏覽器、行動應用程式和後端服務之間存在顯著差異。每個平台都有不同的能力、約束和用例,影響固定策略。

瀏覽器固定:有限且衰落

現代瀏覽器在很大程度上已經放棄了對 Web 應用程式自訂憑證固定的支援:

⚠️ 瀏覽器固定現實

HTTP 公鑰固定(HPKP)- 已棄用

  • 2015 年引入,允許網站指定固定的憑證
  • Chrome 在 2017 年棄用,2018 年移除
  • Firefox 和其他瀏覽器也紛紛效仿
  • 原因:太危險——配置錯誤可能永久破壞網站

當前瀏覽器方法

  • 瀏覽器為高價值網域維護自己的固定清單
  • Google 固定自己的網域(google.com、gmail.com 等)
  • 預載入的固定編譯到瀏覽器程式碼中
  • 不適用於第三方網站

HPKP 失敗的原因

  • 配置錯誤的固定將使用者鎖定在網站之外
  • 攻擊者可以使用 HPKP 進行勒索攻擊
  • 沒有損壞固定的恢復機制
  • 營運負擔超過了安全優勢

對於 Web 應用程式,憑證固定實際上不可用。瀏覽器依賴標準的 CA 信任模型以及憑證透明度等額外保護。

行動應用程式固定:常見但有風險

行動應用程式代表了當今憑證固定的主要用例:

📱 行動固定特徵

iOS 實作

  • 透過 NSURLSession 和應用程式傳輸安全提供原生支援
  • 可以固定憑證或公鑰
  • 在應用程式程式碼中實作
  • 需要應用程式更新才能更改固定

Android 實作

  • 網路安全配置(Android 7.0+)
  • 宣告式 XML 配置
  • 可以固定憑證或公鑰
  • 也需要應用程式更新才能更改固定

常見用例

  • 銀行和金融應用程式
  • 處理敏感資料的醫療保健應用
  • 具有高安全要求的企業應用程式
  • 與已知受控伺服器通訊的應用

當你控制客戶端和伺服器、可以協調更新並且安全優勢證明營運複雜性合理時,行動固定是有意義的。

後端服務固定:受控環境

後端服務與其他後端服務通訊代表了另一種固定場景:

🔧 後端固定優勢

受控環境

  • 客戶端和伺服器都在你的控制之下
  • 可以協調憑證更新
  • 自動化部署減少更新摩擦

微服務通訊

  • 服務到服務的身份驗證
  • 帶固定的雙向 TLS(mTLS)
  • 零信任架構實作

API 客戶端函式庫

  • 與特定 API 通訊的 SDK
  • 已知的憑證基礎設施
  • 可以將固定與函式庫更新捆綁在一起

後端固定的風險低於行動固定,因為更新可以快速部署而無需使用者參與。

固定困境:固定什麼

選擇固定什麼涉及在安全性和營運靈活性之間取得平衡。每個選項——根憑證、中繼憑證或葉憑證——都呈現出不同的權衡。

固定葉憑證:最大安全性,最大風險

固定伺服器的葉憑證提供最強的安全性,但會帶來重大的營運挑戰:

🚫 葉憑證固定風險

需要頻繁輪換

  • 葉憑證在 398 天後過期(很快將縮短至 47 天)
  • 每次憑證續訂都需要應用程式更新
  • 使用 47 天憑證:每年至少需要 7-8 次更新

緊急情況

  • 私鑰被攻破需要立即更換憑證
  • 在部署新憑證之前需要應用程式更新
  • 使用舊應用版本的使用者無法連線
  • 沒有優雅的遷移路徑

營運負擔

  • 協調憑證更新與應用發布
  • 在部署前測試固定更新
  • 管理具有不同固定的多個應用版本
  • 破壞連線的高風險

除非在可以管理營運複雜性的極高安全場景中,否則很少推薦葉憑證固定。

固定中繼憑證:平衡方法

固定中繼憑證提供了一個中間地帶:

⚖️ 中繼憑證權衡

優勢

  • 中繼憑證持續 3-10 年
  • 需要更少的應用程式更新
  • 葉憑證輪換不影響固定
  • 相比不固定有合理的安全改進

劣勢

  • CA 可以使用相同的中繼憑證為你的網域頒發憑證
  • 不能防止 CA 被攻破
  • 中繼憑證輪換時仍需要更新
  • 可能存在多個中繼憑證(需要固定所有)

最佳實務

  • 固定當前中繼憑證加備份中繼憑證
  • 監控 CA 關於中繼憑證更改的公告
  • 在中繼憑證過期之前做好更新計畫
  • 首先使用暫存中繼憑證進行測試

中繼憑證固定是行動應用程式最常見的方法,在安全性和營運可行性之間取得平衡。

固定根憑證:最小安全優勢

固定根憑證提供的安全改進最少:

⚠️ 根憑證固定限制

有限的安全價值

  • 根 CA 可以為任何網域頒發憑證
  • 不能防止 CA 被攻破攻擊
  • 相比標準信任模型提供最小保護
  • 只能防止使用不同根 CA 的攻擊

營運優勢

  • 根憑證持續 15-25 年
  • 需要非常不頻繁的更新
  • 葉憑證和中繼憑證輪換不影響固定

何時有意義

  • 限制到特定 CA(例如,只信任 DigiCert 根憑證)
  • 減少被攻破的 CA 的攻擊面
  • 符合 CA 限制的合規要求

考慮到最小的安全改進,根憑證固定很少值得實作。

公鑰固定:推薦方法

與其固定整個憑證,固定公鑰提供了更好的靈活性:

✅ 公鑰固定優勢

憑證輪換無需更改固定

  • 新憑證可以使用相同的金鑰對
  • 固定在憑證續訂期間保持有效
  • 減少更新頻率

備份金鑰支援

  • 提前產生備份金鑰對
  • 固定當前和備份公鑰
  • 如果主金鑰被攻破,切換到備份金鑰
  • 提供緊急恢復路徑

實作

  • 從憑證中提取公鑰
  • 對公鑰進行雜湊(通常是 SHA-256)
  • 將雜湊儲存在應用程式中
  • 在 TLS 交握期間進行比較

公鑰固定是產業推薦的方法,在保持營運靈活性的同時提供安全優勢。

實作公鑰固定

技術實作涉及提取和雜湊公鑰:

# 從憑證中提取公鑰
openssl x509 -in certificate.pem -pubkey -noout > pubkey.pem

# 產生公鑰的 SHA-256 雜湊(SPKI 格式)
openssl x509 -in certificate.pem -pubkey -noout | \
  openssl pkey -pubin -outform der | \
  openssl dgst -sha256 -binary | \
  base64

產生的 base64 編碼雜湊就是你在應用程式中固定的內容。在 TLS 交握期間,提取伺服器的公鑰,對其進行雜湊,並與你固定的雜湊進行比較。

🔑 金鑰管理最佳實務

始終固定多個金鑰

  • 當前生產金鑰
  • 備份金鑰(預先產生,安全儲存)
  • 可選:中繼 CA 公鑰

金鑰輪換策略

  • 部署新固定時產生備份金鑰
  • 將備份金鑰安全地離線儲存
  • 輪換時,備份變為主金鑰,產生新備份
  • 在輪換前更新固定以包含新備份

緊急程序

  • 記錄金鑰被攻破回應程序
  • 保持快速部署應用更新的能力
  • 考慮終止開關或遠端固定更新機制
  • 定期測試緊急程序

通用名稱陷阱:不要透過 CN 固定

一些開發人員試圖透過驗證憑證的通用名稱(CN)或主體別名(SAN)來實作固定。這種方法從根本上是有缺陷的:

🚫 為什麼 CN 固定失敗

沒有加密綁定

  • CN 只是憑證中的一個文字欄位
  • 任何 CA 都可以使用你的網域名稱頒發憑證
  • 不驗證憑證實際上是你的
  • 不提供任何安全優勢

攻擊場景

  • 攻擊者攻破任何受信任的 CA
  • 為你的網域(victim.com)請求憑證
  • 憑證具有正確的 CN 但錯誤的公鑰
  • 你的 CN 驗證通過,攻擊者攔截流量

你實際上在驗證什麼

  • 標準 TLS 函式庫已經驗證 CN/SAN
  • 你在重複現有驗證
  • 沒有新增任何安全層
  • 為沒有好處建立維護負擔

CN 驗證不是憑證固定——它是不提供安全改進的冗餘驗證。

什麼真正提供安全性

真正的憑證固定驗證加密屬性:

✅ 加密驗證

公鑰固定

  • 驗證實際的加密金鑰
  • 沒有私鑰存取權限無法偽造
  • 提供針對 CA 被攻破的真正安全性

憑證固定

  • 驗證包括簽章在內的整個憑證
  • 確保精確的憑證匹配
  • 比公鑰固定更強但靈活性較差

憑證鏈固定

  • 驗證中繼憑證或根憑證
  • 限制哪些 CA 可以頒發有效憑證
  • 平衡安全性和營運靈活性

關鍵見解:固定加密材料(金鑰、憑證),而不是中繼資料(CN、組織名稱)。

真實世界的固定失敗

憑證固定失敗導致了高調的中斷,說明了營運風險:

⚠️ 著名的固定事件

行動銀行應用

  • 憑證續訂被遺忘,固定未更新
  • 在部署新憑證之前需要應用更新
  • 數千使用者無法存取銀行服務
  • 緊急應用更新匆忙通過審批流程

企業應用程式

  • CA 輪換了中繼憑證
  • 已部署應用程式中的固定未更新
  • 整個行動勞動力無法連線
  • 需要緊急憑證回滾

API 客戶端函式庫

  • 固定的葉憑證過期
  • 使用該函式庫的所有應用程式都損壞
  • 開發人員被迫更新和重新部署
  • 整個客戶群的服務中斷

這些事件有共同的主題:憑證輪換計畫不足、缺乏備份固定,以及低估了憑證和應用程式更新之間所需的協調。

險些失誤:測試拯救了一切

我曾經透過嚴格的輪換前測試——以及在被駁回時的堅持——險些避免了一次災難性的中斷。我們的行動應用程式使用了混合固定方法:它將通用名稱對應到特定的公鑰固定。雖然從純安全角度來看並不理想,但這種設計提供了營運靈活性——只要公鑰保持固定,我們就可以在不更新應用的情況下使用相同的 CN 輪換憑證。

在一次例行憑證輪換期間,我的團隊遵循了我們的標準程序:在部署到生產環境之前,在暫存環境中測試新憑證。測試失敗了。連線被拒絕,應用無法與我們的伺服器通訊。

當測試團隊說「太難了」

測試團隊報告了失敗,但很快就駁回了它。「憑證固定很難測試,」他們說。「我們在 UAT 中停用了固定——這就是我們看到失敗的原因。這可能只是一個配置問題。我們已經測試了其他所有內容,它運作正常。」

這個回應讓我深感不安。他們因為「固定失敗太常見」而在 UAT 中停用了憑證固定,這意味著他們的測試沒有驗證實際的生產行為。距離計畫的生產發布只剩下兩個小時,我決定親自調查,而不是接受駁回。

UAT 固定缺口

測試團隊的輕視態度揭示了一個危險的做法:他們在 UAT(使用者驗收測試)環境中停用了憑證固定。他們的理由是務實的但有缺陷的——固定使測試更難,所以他們移除了它。

🚫 停用固定陷阱

他們為什麼在 UAT 中停用固定

  • 「憑證固定太難測試」
  • UAT 憑證經常更改或過期
  • 用於測試的自簽憑證
  • 測試團隊缺乏更新固定的權限
  • 「它減慢了我們的測試週期」
  • 「我們會在生產監控中捕獲真正的問題」

危險的後果

  • UAT 測試沒有驗證任何關於憑證固定的內容
  • 所有與固定相關的問題只會出現在生產環境中
  • 「成功」的 UAT 測試帶來的虛假信心
  • 生產環境成為真正的測試環境
  • 使用者會遇到測試從未捕獲的失敗

實際發生的情況

  • 測試團隊在 UAT 中執行完整的測試套件
  • 所有測試都通過了(因為固定被停用)
  • 他們報告「準備好生產發布」
  • 憑證輪換會破壞生產環境
  • 只有我啟用固定的暫存測試捕獲了問題

我堅持維護一個啟用憑證固定的單獨暫存環境,正是為了捕獲這些問題。測試團隊認為這是多餘的和過度謹慎的。這次事件證明了相反的情況。

我打開程式碼並開始逐行檢查。固定邏輯、CN 對應、公鑰驗證——每個元件都需要仔細審查。時間在流逝,但在不理解失敗的情況下匆忙發布將是魯莽的。

經過一個小時的調查,我發現了問題:新憑證的通用名稱結構與預期不同。

🔍 發現(發布前 2 小時)

我在程式碼中發現的內容

  • 憑證提供商在續訂期間更改了 CN 格式
  • 舊憑證:CN=api.example.com
  • 新憑證:CN=*.example.com(萬用字元)
  • 應用的 CN 到固定對應邏輯期望精確匹配
  • 萬用字元 CN 與硬編碼對應不匹配
  • 所有連線都會被拒絕

如果部署的影響

  • 整個行動使用者群無法連線
  • 沒有應用更新就沒有立即修復
  • 應用程式商店審批流程:最少 1-3 天
  • 潛在的收入損失和聲譽損害
  • 緊急回滾將是唯一選擇

時間線

  • 測試團隊報告失敗但駁回了它
  • 距離計畫發布還有 2 小時
  • 逐行程式碼調查揭示了根本原因
  • 發布在剩餘 1 小時時被取消
  • 透過堅持和調查避免了災難

我立即取消了憑證輪換,距離計畫的發布視窗只剩一個小時。我們與憑證提供商合作,頒發了一個具有原始 CN 格式的新憑證,保持與已部署應用程式的一致性。輪換被重新安排,並在徹底測試確認 CN 符合我們的期望後成功完成。

險些失誤的教訓

這次經歷強化了幾個關鍵原則,特別是關於組織文化以及調查失敗而不是駁回失敗的重要性:

✅ 測試最佳實務

永遠不要在 UAT 中停用固定

  • 如果生產環境中啟用了固定,則必須在 UAT 中啟用
  • 「太難測試」意味著你會在生產環境中發現問題
  • UAT 必須完全鏡像生產行為
  • 在 UAT 中使用類似生產的憑證
  • 跨環境維護固定同步
  • 接受營運負擔作為必要的驗證
  • 如果你不能測試它,你就不能安全地部署它

永遠不要駁回測試失敗

  • 憑證固定失敗是訊號,不是雜訊
  • 「太難測試」不是可接受的回應
  • 調查每個失敗到根本原因
  • 不要假設「它會在生產環境中運作」
  • 堅持理解為什麼測試失敗

在輪換前始終測試

  • 在暫存環境中測試新憑證
  • 使用實際的應用程式建置,而不是模擬器
  • 驗證所有憑證屬性:CN、SAN、公鑰、鏈
  • 如果可能,使用多個應用版本進行測試
  • 記錄預期的憑證屬性
  • 如有必要,逐行調查

為營運靈活性而設計

  • CN 到固定對應為金鑰輪換提供了靈活性
  • 可以在不更新應用的情況下更新公鑰(在相同 CN 內)
  • 減少所需應用更新的頻率
  • 平衡安全性與營運現實

保持協調

  • 清楚地記錄憑證要求
  • 向憑證提供商傳達要求
  • 在接受交付之前驗證憑證屬性
  • 準備好回滾程序
  • 安排有足夠測試時間的輪換

混合方法——使用 CN 對應到公鑰固定——代表了一種務實的妥協。純公鑰固定會更安全,但每次金鑰輪換都需要應用更新。純 CN 驗證不會提供任何安全性。我們的方法允許我們在 CN 保持一致的情況下輪換金鑰而無需應用更新,同時仍然透過固定的公鑰驗證加密屬性。

🎯 設計考量

適當的設計降低風險

  • 將憑證身份(CN)與加密驗證(公鑰)分開
  • 允許每個 CN 有多個固定以實現優雅輪換
  • 在初始部署中包含備份固定
  • 為憑證提供商更改而設計
  • 為緊急情況做計畫

環境配置

  • 在包括 UAT 在內的所有環境中啟用固定
  • 如果測試團隊停用固定,維護啟用它的單獨暫存環境
  • 如有必要,使用特定於環境的固定
  • 將固定配置與憑證基礎設施一起維護
  • 不要為了方便而犧牲測試覆蓋率
  • 接受適當的測試需要努力
  • 如果你不能在啟用固定的情況下測試,你就不能安全地部署

文件至關重要

  • 記錄固定架構和理由
  • 維護固定的 CN 和公鑰清單
  • 記錄憑證提供商要求
  • 為輪換程序建立執行手冊
  • 在團隊成員之間共享知識

文化考量

  • 培養調查而不是駁回測試失敗的文化
  • 授權工程師在發現問題時取消發布
  • 在發布前分配適當調查的時間
  • 不要接受「太難測試」作為有效理由
  • 將憑證輪換視為高風險變更

這次事件表明,適當的設計和嚴格的測試不是可選的奢侈品——它們是防止自我造成的中斷的基本保障。更重要的是,它暴露了測試團隊方法中的關鍵缺陷:他們因為「太難測試」而在 UAT 中停用了憑證固定,這意味著他們的測試沒有驗證任何關於生產行為的內容。

測試團隊執行了他們的完整測試套件並報告「準備好生產」。所有測試都通過了——因為固定被停用了。他們透過不反映現實的測試建立了虛假的安全感。只有我堅持維護啟用固定的單獨暫存環境才捕獲了問題。沒有它,憑證固定的第一次測試將在生產環境中進行,數千使用者無法連線。

這次事件驗證了一個有爭議的決定:維護啟用固定測試的營運負擔。許多組織因為「失敗太常見」而在測試環境中停用固定,但這會建立一個危險的缺口,生產環境成為真正的測試環境。啟用固定測試的困難不是一個錯誤——它是一個功能,強制執行適當的憑證管理實務並在問題到達使用者之前捕獲它們。

花費兩個小時調查節省了數天的危機管理、緊急應用更新和潛在的業務影響。每次憑證輪換都應被視為高風險操作,需要與主要程式碼部署相同的謹慎和驗證。每次測試失敗都值得調查,而不是駁回——特別是在處理憑證固定時,失敗的後果是立即和嚴重的。

測試憑證固定:不要走捷徑

在非生產環境中停用憑證固定的誘惑很強,但它破壞了測試的整個目的:

🚫 適得其反的捷徑

在 UAT 中停用固定的常見理由

  • 「憑證固定太難測試」
  • 「我們在 UAT 中使用自簽憑證」
  • 「固定失敗在測試中太常見」
  • 「它減慢了我們的測試週期」
  • 「生產憑證無論如何都是不同的」

為什麼這些理由失敗

  • 測試應該驗證生產行為
  • 如果難以測試,就難以操作
  • 常見的失敗表明真正的問題
  • 緩慢的測試優於生產中斷
  • 不同的憑證仍應遵循相同的固定規則

✅ 適當的測試方法

在所有環境中維護固定

  • 在 UAT 中使用類似生產的憑證
  • 跨環境保持固定同步
  • 首先在 UAT 中測試憑證輪換程序
  • 驗證固定邏輯正常運作
  • 在生產之前捕獲配置問題

接受營運負擔

  • 是的,在 UAT 中管理憑證更難
  • 是的,它需要團隊之間的協調
  • 是的,它減慢了一些測試場景
  • 但它防止了生產災難
  • 困難就是重點——它強制執行適當的實務

在 UAT 中停用固定的組織通常只在生產環境中發現問題,在那裡影響是嚴重的,恢復選項是有限的。在測試環境中維護固定的營運負擔遠小於影響數千或數百萬使用者的生產中斷的成本。

何時使用憑證固定

考慮到風險,憑證固定何時有意義?

✅ 良好的固定用例

高價值行動應用程式

  • 銀行和金融服務
  • 具有 PHI 的醫療保健應用程式
  • 政府和國防應用程式
  • 當安全性證明營運複雜性合理時

受控環境

  • 後端服務到服務通訊
  • 具有託管部署的企業應用程式
  • 具有更新機制的物聯網裝置
  • 當客戶端和伺服器都在你的控制之下時

威脅模型要求

  • 防止 CA 被攻破至關重要
  • 監管合規要求固定
  • 針對性攻擊風險很高
  • 標準 TLS 信任模型不足

❌ 不良固定用例

公共網站

  • 瀏覽器不支援自訂固定
  • HPKP 因風險而被棄用
  • 憑證透明度提供替代保護

沒有更新機制的應用程式

  • 無法從固定失敗中恢復
  • 永久損壞的風險
  • 沒有優雅的遷移路徑

快速變化的基礎設施

  • 頻繁的憑證輪換
  • 多個憑證提供商
  • 動態基礎設施(CDN、負載平衡器)
  • 營運負擔太高

實作固定的決定應基於仔細的威脅建模和對營運能力的誠實評估。

憑證固定的替代方案

在實作固定之前,考慮替代安全措施:

🔒 替代安全措施

憑證透明度

  • 所有頒發憑證的公共日誌
  • 偵測你網域的未授權憑證
  • 監控 CT 日誌以尋找意外頒發
  • 應用程式沒有營運負擔

CAA DNS 記錄

  • 指定哪些 CA 可以為你的網域頒發憑證
  • 防止未授權的 CA 頒發憑證
  • 簡單的 DNS 記錄,無需應用程式變更
  • 所有主要 CA 都支援

雙向 TLS(mTLS)

  • 用於身份驗證的客戶端憑證
  • 比固定更強的服務到服務通訊
  • 雙方相互認證
  • 在零信任架構中很常見

增強監控

  • 透過 CT 日誌監控憑證頒發
  • 對意外的憑證變更發出警報
  • 在沒有固定風險的情況下偵測攻擊
  • 提供可見性而沒有營運負擔

這些替代方案通常提供比憑證固定更好的安全性與複雜性比率。

結論

憑證固定代表了一種強大的安全技術,但伴隨著重大的營運風險。透過將預期的憑證或公鑰硬編碼到應用程式中,你可以防止 CA 被攻破和中間人攻擊。然而,這種保護是以營運靈活性和自我造成的中斷風險為代價的。

憑證固定中的關鍵決策圍繞固定什麼以及如何管理生命週期。固定葉憑證提供最大的安全性,但隨著憑證輪換需要頻繁更新。固定中繼憑證平衡了安全性和營運可行性,使其成為行動應用程式最常見的方法。固定根憑證提供最小的安全優勢,很少有理由。公鑰固定提供了最佳平衡,允許憑證輪換而無需固定更新,同時保持加密驗證。

通用名稱陷阱說明了對憑證安全性的根本誤解。驗證 CN 或 SAN 欄位不提供安全優勢——這些是任何 CA 都可以在憑證中包含的中繼資料。真正的安全來自驗證加密屬性:公鑰、憑證簽章和鏈驗證。CN 驗證與標準 TLS 驗證是冗餘的,並建立了虛假的安全感。

真實世界的固定失敗展示了營運風險。被遺忘的憑證續訂破壞的行動銀行應用、被 CA 中繼憑證輪換中斷的企業應用程式,以及被過期固定使無用的 API 函式庫都有共同的主題:計畫不足、缺乏備份固定,以及低估協調複雜性。這些事件通常造成的損害比固定旨在防止的攻擊更大。

實作固定的決定應基於仔細的威脅建模。受控環境中的高價值行動應用程式和託管部署代表良好的用例。公共網站、沒有更新機制的應用程式和快速變化的基礎設施是不良候選者。替代安全措施——憑證透明度、CAA 記錄、雙向 TLS 和增強監控——通常提供更好的安全性與複雜性比率。

憑證固定是一把雙刃劍。在具有強大營運流程的受控環境中適當使用時,它可以增強針對複雜攻擊的安全性。在不適當的場景中粗心使用時,它會建立營運脆弱性和自我造成的中斷。產業向更短憑證有效期的趨勢使固定越來越具有挑戰性,強化了公鑰固定優於憑證固定的重要性以及替代安全措施的價值。

在實作憑證固定之前,問問自己:我的威脅模型是否證明營運複雜性合理?我是否有可靠管理固定更新的流程和工具?你能在包括 UAT 在內的所有環境中保持啟用固定嗎?是否有提供類似保護但風險較小的替代安全措施?這些問題的答案應該指導你的固定策略——或者你完全避免固定的決定。

如果你確實實作了固定:永遠不要僅僅因為「太難」而在測試環境中停用它。這種困難是你的早期預警系統,在問題到達生產環境之前捕獲它們。接受營運負擔作為適當安全驗證的代價。

分享到