Certificate Pinning yöntemi bir uygulamada bir sertifika otoritesine (CA) güvenmeyi veya bir DNS adına bağımlı olmayı çözen, aynı zamanda PKI ortamında anahtar değişimi ihtiyacının ortadan kaldıran oldukça güvenli bir yöntemdir. Temel olarak çalışma mantığında kullanıcı tarafı ile sunucu arasında önceden belirlenmiş bir Public-Private anahtar ikilisinin Public anahtarının kullanıcı tarafı uygulamasının içine hard-coded veya dosya tabanlı olarak gömülmesi vardır.
Certificate Pinning’e alternatif yöntemlerden bazıları: Ephemeral Keys, Pinning Gaps, Revocation ve X509 Validation.
Zaafiyet testlerinde çokça kullanılan SSL sonlandırma kapasitesine sahip proxy uygulamaları (Fiddler, BurpSuite, Zap vs.) SSL trafiğini sonlandırsa dahi, kullanıcı tarfındaki uygulama kendi içerisindeki (Pinned Certifcate) haricinde bir sertifika ile karşılaşınca iletişimi sonlandırır. Bu durum testleri oldukça zorlaştırır. Bu duruma çözüm ise Man-in-The-Middle (MiTM) yerine Man-in-The-Front (MiTF) yöntemidir.
Mobil Uygulama Güvenlik Testlerinde Sertifika Sabitleme Özelliğinin Atlatılması
