SSL Pinning Nedir?

İngilizce: SSL Pinning

SSL pinning, mobil uygulamanın yalnızca beklenen sertifika veya açık anahtara güvenmesini sağlayarak MITM riskini azaltan kontroldür.

SSL Pinning Nedir?

SSL pinning, bir uygulamanın sunucudan gelen TLS sertifikasını yalnızca işletim sisteminin güvenilir kök deposuna göre değil, uygulama içine tanımlanmış sertifika veya açık anahtar bilgisine göre de kontrol etmesidir. Beklenen değer eşleşmezse bağlantı kesilir.

Bu kontrol özellikle mobil uygulamalarda, kullanıcı cihazına kötü niyetli bir kök sertifika yüklenmesi veya kurumsal proxy üzerinden trafiğin çözülmesi gibi ortadaki adam saldırısı senaryolarına karşı ek koruma sağlar. SSL/TLS bağlantısı hâlâ temel güvenliği sağlar; pinning ise uygulamanın yalnızca belirli sunucu kimliklerine güvenmesini zorunlu kılar.

Ne Zaman Kullanılır?

Bankacılık, cüzdan, sağlık, kurumsal mesajlaşma ve yüksek hassasiyetli mobil öncelikli uygulamalarda pinning değerlendirilebilir. Ancak operasyonel maliyeti vardır: sertifika yenileme, ara sertifika değişimi veya CDN geçişi yanlış planlanırsa uygulama kullanıcı tarafında bağlantı kuramaz hale gelebilir.

Bu nedenle çoğu ekip sertifikanın tamamını değil açık anahtarı pinler, yedek pin tanımlar ve kademeli sürüm geçişi planlar. SSL pinning, zayıf API kimlik doğrulamasını veya kötü anahtar saklamayı telafi etmez; güvenli oturum yönetimiyle birlikte tasarlanmalıdır.