我正在开发一个带有证书固定的移动应用程序。我将在 DMZ 中有一个盒子来代理我的请求。该服务器是否应该拥有来自受信任 CA 的证书,或者我可以使用我从自己的 CA 生成的证书?
从移动客户端使用受信任的 CA 有什么好处?
此外,之后我将访问几个不同的服务器,这些服务器将使用我自己的 CA 生成的证书。我也应该固定这些吗?我假设是的,即使在网络中,固定两者也是最好的。但是有必要吗?
谢谢!
问问题
28 次
2 回答
0
如果您使用自定义 CA,则意味着您必须:
- 使用您的自定义 CA 配置将使用您的应用程序的所有移动设备。如果您不控制移动设备,这将是不可能的,并且将 CA 推送到设备的信任存储区无论如何都是一种责任。
- 禁用系统的默认证书验证,以便您的 App 接受自定义 CA,然后重新验证服务器的链并进行 pinning。要做到这一点几乎是不可能的,因此您很可能最终会遇到不安全的 HTTPS 连接。
请从受信任的 CA 购买证书。
对于代理和内部服务器之间的连接,您可以实施 SSL pinning,但与移动客户端相比,它的优先级较低,因为攻击面减少了。
于 2016-05-02T16:26:20.010 回答
0
如果您使用自己提供的 CA 来自己管理撤销过程,这很难。
于 2016-04-27T22:48:12.833 回答