SSL Pinning Nedir?
İngilizce: SSL Pinning
SSL pinning, mobil uygulamanın yalnızca beklenen sertifika veya açık anahtara güvenmesini sağlayarak MITM riskini azaltan kontroldür.
SSL Pinning Nedir?
SSL pinning, bir uygulamanın sunucudan gelen TLS sertifikasını yalnızca işletim sisteminin güvenilir kök deposuna göre değil, uygulama içine tanımlanmış sertifika veya açık anahtar bilgisine göre de kontrol etmesidir. Beklenen değer eşleşmezse bağlantı kesilir.
Bu kontrol özellikle mobil uygulamalarda, kullanıcı cihazına kötü niyetli bir kök sertifika yüklenmesi veya kurumsal proxy üzerinden trafiğin çözülmesi gibi ortadaki adam saldırısı senaryolarına karşı ek koruma sağlar. SSL/TLS bağlantısı hâlâ temel güvenliği sağlar; pinning ise uygulamanın yalnızca belirli sunucu kimliklerine güvenmesini zorunlu kılar.
Ne Zaman Kullanılır?
Bankacılık, cüzdan, sağlık, kurumsal mesajlaşma ve yüksek hassasiyetli mobil öncelikli uygulamalarda pinning değerlendirilebilir. Ancak operasyonel maliyeti vardır: sertifika yenileme, ara sertifika değişimi veya CDN geçişi yanlış planlanırsa uygulama kullanıcı tarafında bağlantı kuramaz hale gelebilir.
Bu nedenle çoğu ekip sertifikanın tamamını değil açık anahtarı pinler, yedek pin tanımlar ve kademeli sürüm geçişi planlar. SSL pinning, zayıf API kimlik doğrulamasını veya kötü anahtar saklamayı telafi etmez; güvenli oturum yönetimiyle birlikte tasarlanmalıdır.
İlgili Terimler
Mobil uygulama güvenliği, uygulama kodunu, API trafiğini, oturumu ve cihazdaki veriyi kötüye kullanıma karşı korur.
Mobile FirstMobile first, tasarım ve geliştirmeye küçük dokunmatik ekran kısıtlarından başlayıp daha büyük ekranlara aşamalı genişler.
SSL/TLSSSL/TLS, istemci ve sunucu arasında kimlik doğrulama, anahtar anlaşması ve şifreli veri aktarımı sağlayan güvenlik protokol ailesidir.