Возможно, это глупый вопрос, но я не смог найти ни одного подходящего ресурса, в котором бы четко говорилось об этом. В случае, если браузер совершает вызов https, он уже загрузил бы сертификат из домена. Как это работает для мобильного приложения? Загружает ли http-библиотека Android/iOS сертификат автоматически?
Будет ли http-библиотека Android загружать сертификат при выполнении запроса https?
Winster
8 апреля 2018 в 04:51
44
0
"... тогда как в случае междоменных запросов загрузка сертификата не происходит." - я понятия не имею, что вы пытаетесь сказать этим, но это может быть неправильно. Сертификат сервера всегда передается клиенту при каждом полном рукопожатии TLS, независимо от того, междоменный он или нет. И полное рукопожатие всегда выполняется, если не выполняется возобновление сеанса, что потребовало бы предыдущего полного рукопожатия. Кроме того, пиннинг не имеет к этому никакого отношения.
@SteffenUllrich спасибо за комментарий. nczonline.net/blog/2010/05/25/… — мой источник этого заявления.
Этот источник вообще не говорит о получении сертификата с сервера. Хотя я не знаю точно, в какой части этого источника вы ошиблись, я предполагаю, что это было «По умолчанию запросы между источниками не предоставляют учетные данные (файлы cookie, аутентификацию HTTP и сертификаты SSL на стороне клиента)» . Но здесь речь идет о сертификатах client-side, т.е. сертификатах, отправляемых для аутентификации с клиента на сервер, а не об обычных серверных сертификатах. Обратите внимание, что клиентские сертификаты используются только в том случае, если сервер явно запрашивает их в первую очередь, т. Е. Они редко используются.
пятно на @SteffenUllrich, спасибо за подробности. С вашего разрешения позвольте мне обновить вопрос.
Вам не нужно мое разрешение, чтобы обновить вопрос, просто отредактируйте его. Вреда от этого не будет, так как ответов на этот вопрос пока нет.