Zertifikat Pinning auf AWS LambdaZertifikat Pinning auf AWS Lambda
Kann Funktionen in AWS Lambda, aufgerufen durch API-Gateway-Handler erreichen nach unten in die Verbindungsschicht des Antrags auf alle für den Zugriff auf das Zertifikat verwendet wurde, zu etablieren die SSL/TLS-Verbindung auf der Client-Seite? Ich möchte eine Zertifikatsfixierungs-Strategie für die API implementieren, die ich erstelle, da ich ein Dutzend Möglichkeiten gefunden habe, wie SSL ohne Pinning umgangen werden kann und die Daten in meiner API keine Social-Media-Posts sind.
Irgendwelche Alternativen, wenn nicht möglich?
Wenn Lambda-Funktionen ist eine vergleichbare Art und Weise die Sicherheit der weiteren Durchsetzung es keinen Zugriff auf die Verbindungsschicht haben und nicht einfach sagen: „SSL ist genug“
Last Resort
Wenn Lambda doesn Geben Sie mir nicht Zugriff auf die Zertifikatsinformationen der Clientverbindungen. Ich muss auf die asymmetrische Verschlüsselung zurückgreifen.
Was bedeutet * "Ich habe ein Dutzend Möglichkeiten gefunden, in denen SSL ohne Pinning umgangen werden kann" * eigentlich gemeint? Wie umgehen Sie einen nicht implementierten Authentifizierungsmechanismus? Ist Ihnen bewusst, dass der Server, bevor er nach einem Client-Zertifikat fragen kann, sich der CA (s) bewusst sein muss, gegen die er das Client-Zertifikat authentifizieren kann? (API-Gateway ist es nicht.) Oder dass der Client überhaupt kein Zertifikat * vorlegt, wenn der Server nicht nach einem fragt? (API-Gateway nicht.) Es gibt kein Client-Zertifikat, über das das System Sie informieren kann. –
@Michael Was denkst du, was es bedeutet? Der Mann in der Mitte. Fälschung von Zertifikatsketten. Weiterleiten einer gefälschten HTTPS-Anfrage, bevor HTTP zu HTTPS weitergeleitet wird. Wenn Sie der Meinung sind, dass SSL nicht durchbrochen werden kann, sollten Sie die Konversation sofort beenden. –
Ich habe nie vorgeschlagen, dass SSL nicht verletzt werden kann, aber keines der Probleme, die Sie erwähnt haben, wird durch das Thema der vorliegenden Frage, die die Client-Authentifizierung ist, wirklich gemildert. API Gateway unterstützt HTTP bereits ohne TLS. Und natürlich können Sie immer noch HSTS verwenden ... und mit einem benutzerdefinierten Domain-Namen und Zertifikat können Sie auch [HPKP] (https://en.m.wikipedia.org/wiki/HTTP_Public_Key_Pinning) verwenden, aber diese haben auch nichts mit Client-Zertifikaten zu tun ... also versuche ich diesen Aspekt dessen, was Sie sagen, zu verstehen. –