Доверяй, но проверяй: про корневые сертификаты в Android и не только

В докладе поделюсь историей одного спонтанного исследования корней доверия в ОС Андроид.

Объясню, как работают цепочки доверия сертификатов и защита https от перехвата. Расскажу, как пентестеры перехватывают и расшифровывают https-трафик мобильных приложений, как это делают коммерческие корпоративные системы и как это могут делать злоумышленники.

Поговорим об устройстве мировой инфраструктуры открытых ключей: почему важно понимать, как она устроена, и зачем, возможно, стоит переосмыслить абсолютное доверие к ней.

Поделюсь личным опытом харденинга TLS-соединений в мобильных приложениях и не только.