0

我想使用 SSL 在我的 android 应用程序和托管我的 Web 服务的服务器之间建立连接。

我想使用自签名证书,然后使用SSLSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER

但是会有一个中间人攻击的漏洞,所以我决定使用受信任的证书。

我打算买一个证书,但我想知道哪些 CA 是最受信任的以及如何生成 BKS

我检查了这个链接这个链接并选择了第一个链接中描述的解决方案,即使用充气城堡库生成它并将其作为原始资源加载到应用程序中。这是一种安全的方法吗?它是否可以安全地与使用 android 2.2 的设备一起使用?

我正在尝试了解所有这些工作的原理,但这是我第一次使用证书。

非常感谢你 !

4

1 回答 1

1

自签名证书本身并不容易受到中间人攻击。虽然使用的ALLOW_ALL_HOSTNAME_VERIFIER是,所以你不应该使用它。只要您正确设置您的应用程序以信任您的自签名证书,并正确验证其有效性,就真的没有安全问题。

如果您想购买证书,只需从与 Android 2.2 捆绑的 CA 处获取证书,您就不必处理自定义信任存储和额外代码:它会正常工作,因为系统信任颁发 CA。

于 2012-10-10T02:50:31.483 回答