Fixação de certificados
O que é Fixação de certificados?
Fixação de certificadosTécnica em que uma aplicação fixa um certificado ou chave pública esperada e recusa ligações TLS que não correspondam, neutralizando CAs comprometidas ou fraudulentas.
A fixação de certificados liga um servidor TLS específico a uma ou mais identidades criptográficas (certificado folha completo, intermédio ou hash do SubjectPublicKeyInfo) em que o cliente confia implicitamente. Durante o handshake, o cliente compara a cadeia do servidor com os valores fixados e aborta a ligação em caso de incompatibilidade, mesmo que a cadeia esteja assinada por uma CA pública. É usada sobretudo em aplicações móveis e de desktop que comunicam com um backend fixo, bloqueando atacantes que obtenham certificados fraudulentos. As desvantagens incluem implantação frágil, necessidade de pins de reserva e risco de excluir utilizadores em rotações urgentes; as orientações modernas favorecem certificados de curta duração, Certificate Transparency e DANE.
● Exemplos
- 01
Uma app bancária que fixa o hash SHA-256 da chave pública do servidor e rejeita qualquer outro certificado.
- 02
Um cliente de API móvel que fixa tanto a chave de produção como uma chave de rollover como reserva.
● Perguntas frequentes
O que é Fixação de certificados?
Técnica em que uma aplicação fixa um certificado ou chave pública esperada e recusa ligações TLS que não correspondam, neutralizando CAs comprometidas ou fraudulentas. Pertence à categoria Segurança de rede da cibersegurança.
O que significa Fixação de certificados?
Técnica em que uma aplicação fixa um certificado ou chave pública esperada e recusa ligações TLS que não correspondam, neutralizando CAs comprometidas ou fraudulentas.
Como se defender contra Fixação de certificados?
As defesas contra Fixação de certificados costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Fixação de certificados?
Nomes alternativos comuns: Pinning TLS, Pinning de chave pública.