0

我正在编写一个 Android 应用程序,它将向外部 HTTPS 静态资源发出一些 http 请求 - https://external_server/resources(我无法控制外部服务器)

我正在考虑为 external_server 服务器处理证书/公钥固定。

我脑海中突然冒出一个问题:如果 external_server 更改 SSL 证书/公钥怎么办?如果证书/公钥更改。我必须重新部署我的应用程序?

有任何想法吗?谢谢!

4

1 回答 1

1

你不应该对你不拥有或控制的服务/证书使用证书固定,因为当服务更新他们的证书时你的应用程序将很快被破坏,你必须*快速*在所有客户端上更新你的应用程序。此外,您不能依赖特定的颁发者,因为所有者可能会选择更改其 SSL 证书提供者。

在您的情况下,您应该依赖此类服务的一般 SSL 证书验证例程。

于 2016-07-20T19:45:46.433 回答