يُعد تثبيت شهادة أمان طبقة النقل (TLS) تقنية أمان تساعد على منع هجمات Man-in-the-Middle (MitM)
عادةً ما يقوم العميل عند الاتصال بخادم الويب بالتحقق من الشهادة الرقمية التي يقدمها الخادم للتأكد من أنها تم إصدارها من قبل سلطة الشهادات الموثوقة (CA). ومع ذلك ، يمكن أن يكون هذا العملية عرضة للهجمات من الوسيط في الاتصال (MitM)، حيث يقوم المهاجم بتسجيل حركة المرور ويعرض شهادة رقمية مزيفة والتي تم توقيعها أيضًا من قبل سلطة الشهادات الموثوقة.
يتعامل TLS certificate pinning مع هذا الضعف من خلال السماح للعميل بتحديد واحدة أو أكثر من هاشات المفاتيح العامة أو الشهادات الرقمية المتوقعة التي يجب استخدامها من قبل خادم الويب. عندما يتصل العميل بالخادم ، يتحقق من الشهادة المتوقعة أو مفتاح الهاش العام ، وإذا لم يكن كذلك ، فسيتم إنهاء الاتصال أو إثارة إنذار.
يتم تعزيز الشهادة الموثوقة pinning الآلية من خلال ربط اسم المجال بشهادات TLS متوقعة واحدة أو أكثر. بشكل أدق ، يوصي التوصيات الموصى بها بواسطة Approov باستخدام مشابك SPKI الموضوعية لأنه يتطلب مفتاحًا عامًا محددًا للشهادة. تعتبر هذه الطريقة الأكثر مرونة وصيانةً لأنها تتيح دورة حياة شهادات دون تغييرات في المشابك إذا تم إنشاؤها باستخدام نفس المفتاح العام.
في كل مرة يحتاج فيها التطبيق إلى إقامة اتصال مع خادم يستضيف هذا الاسم النطاقي ، يتم إجراء مصافحة TLS حتى يت