Je hebt een klacht over de onderstaande posting:
Door Redactie: "Als je een mobiele app hebt die een SSL-verbinding naar een service maakt die je beheert, is er geen reden om het certificaat van je dienst via een CA signature te valideren", merkt Marlinspike op. CA signatures zijn namelijk voor algemene netwerken, en daarvan is geen sprake van bij een mobiele verbinding. De app weet waarmee het verbinding maakt en weet ook wat voor certificaat het kan verwachten.Slecht plan om minstens 2 redenen. 1. Een belangrijk argument voor een PKI is dat een verlopen certificaat kan worden vervangen door een nieuwe zonder dat dit in de webbrowser of app tot foutmeldingen of waarschuwingen leidt. Hoe moet een app die van pinning gebruik maakt reageren als deze een verlopen of vernieuwd certificaat voorgeschoteld krijgt? Moet de gebruiker dan eerst een nieuwe app downloaden? En hoe controleer je dan wie die app gemaakt heeft zonder PKI? Phishing-Apps anyone? 2. Hoewel het onvoldoende betrouwbaar werkt, ondersteunen CA's wel revocation, en om revocation betrouwbaar ...
Beschrijf je klacht (Optioneel):