Должны ли мы обрабатывать закрепление сертификатов / открытых ключей для внешних служб https?

Question

Должны ли мы обрабатывать закрепление сертификатов / открытых ключей для внешних служб https?

Я пишу приложение для Android, которое будет отправлять некоторые http-запросы внешним ресурсам HTTPS - https://external_server/resources (я не контролирую внешние серверы)

Я подумываю обработать закрепление сертификатов / открытых ключей для сервера external_server.

У меня всплывает вопрос: а что если external_server изменяет сертификат SSL / открытый ключ? Если сертификат / открытый ключ изменился. Я должен повторно развернуть мое приложение?

Есть идеи? Спасибо!

0

https ssl-certificate certificate-pinning public-key-pinning

Источник

user3018377 20 июл '16 в 19:25

1 ответ

Другие вопросы по тегам https ssl-certificate certificate-pinning public-key-pinning

user3997611 20 июл '16 в 19:45 2016-07-20 19:45 · Answer 1 · 2016-07-20 19:45

Вы не должны использовать закрепление сертификатов для служб / сертификатов, которыми вы не владеете или не контролируете, потому что ваше приложение будет быстро сломано, когда служба обновит свой сертификат, и вам придется *быстро* обновить свое приложение на всех клиентах. Более того, вы не можете полагаться на конкретного эмитента, потому что владелец может изменить своего поставщика сертификатов SSL.

В вашем случае вы должны полагаться на общую процедуру проверки сертификата SSL для таких служб.