Épinglage de certificats
Qu'est-ce que Épinglage de certificats ?
Épinglage de certificatsTechnique par laquelle une application code en dur un certificat ou une clé publique attendue et refuse les connexions TLS non conformes, contrant les autorités de certification compromises ou pirates.
L'épinglage de certificats associe un serveur TLS donné à une ou plusieurs identités cryptographiques (certificat feuille complet, intermédiaire ou condensé du SubjectPublicKeyInfo) que le client considère implicitement comme dignes de confiance. Lors du handshake, le client compare la chaîne du serveur aux valeurs épinglées et abandonne la connexion en cas de divergence, même si la chaîne est signée par une autorité publique. C'est surtout utilisé dans des applications mobiles ou de bureau qui dialoguent avec un backend fixe, où cela bloque les attaquants disposant d'un certificat frauduleux. Inconvénients : déploiement fragile, nécessité de pins de secours, risque de bannir des utilisateurs lors d'une rotation d'urgence ; les recommandations modernes privilégient souvent les certificats de courte durée, la Certificate Transparency et DANE.
● Exemples
- 01
Une application bancaire qui épingle le condensé SHA-256 de la clé publique de son serveur et rejette tout autre certificat.
- 02
Un client d'API mobile qui épingle à la fois la clé de production et la clé de rollover en secours.
● Questions fréquentes
Qu'est-ce que Épinglage de certificats ?
Technique par laquelle une application code en dur un certificat ou une clé publique attendue et refuse les connexions TLS non conformes, contrant les autorités de certification compromises ou pirates. Cette notion relève de la catégorie Sécurité réseau en cybersécurité.
Que signifie Épinglage de certificats ?
Technique par laquelle une application code en dur un certificat ou une clé publique attendue et refuse les connexions TLS non conformes, contrant les autorités de certification compromises ou pirates.
Comment se défendre contre Épinglage de certificats ?
Les défenses contre Épinglage de certificats combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Épinglage de certificats ?
Noms alternatifs courants : Pinning TLS, Pinning de clé publique.