Должны ли мы обрабатывать присвоение сертификата/открытого ключа для внешних служб https?

Я пишу Android приложение, которое будет делать несколько запросов HTTP на внешние успокоительных ресурсы HTTPS - https://external_server/resources (я не имею никакого контроля внешних серверов)Должны ли мы обрабатывать присвоение сертификата/открытого ключа для внешних служб https?

Я имею в виду, чтобы обрабатывать Certificate/Public Key пиннингу для сервера external_server.

Вопрос в моем сознании: что, если внешний_сервер изменяет сертификат SSL/открытый ключ? Если сертификат/открытый ключ изменился. Мне нужно повторно развернуть мое приложение?

Любые идеи? Благодаря!

источник

2016-07-20 Loc

Вы не должны использовать прикрепление сертификата для служб/сертификатов, которыми вы не владеете или не управляете, потому что ваше приложение будет быстро нарушено, когда служба обновит свой сертификат, и вам будет необходимо быстро * * обновите свое приложение на всех клиентов. Более того, вы не можете полагаться на конкретного эмитента, так как владелец может выбрать изменить поставщика сертификатов SSL.

В вашем случае вы должны полагаться на общую процедуру проверки SSL-сертификата для таких служб.

источник

2016-07-20 19:45:46 Crypt32

Thank you @CryptoGuy. Есть ли у вас какие-либо ресурсы общей процедуры проверки SSL-сертификата? – Loc

Это зависит от платформы, которую вы используете. На многих основных платформах есть библиотеки для проверки сертификатов и которые вы должны использовать при подключении, чтобы проверить, подключены ли вы к нужному ресурсу, и ваше соединение безопасно. – Crypt32

Должны ли мы обрабатывать присвоение сертификата/открытого ключа для внешних служб https?

ответ

Смежные вопросы