Ich habe eine App in Produktion gehen. Es hat einen Java-Client und einen Java-Server, die beide immer gleich sind und unter der Kontrolle meines Teams sind. Wir verwenden https.Ok, um ein selbstsigniertes Zertifikat zu akzeptieren, wenn ich sowohl den Server als auch den Client kontrolliere?
Ist es in dieser Situation OK, ein selbstsigniertes Zertifikat auszustellen und es auf dem Client zu akzeptieren? Gibt es dort ein Risiko?
HTTTPS dient zum Schutz der Verbindung zwischen Server und Client, und Sie steuern diese Verbindung nicht vollständig, indem Sie sowohl den Server als auch den Client steuern. Wenn Sie ein selbstsigniertes Zertifikat akzeptieren, nur weil Sie Server und Client steuern, würden Sie auch ein Zertifikat von einem Mann in der Mitte akzeptieren, d. H. Dies wäre unsicher.
Was Sie tun können, ist hart Code das erwartete Zertifikat im Client, d. H. Zertifikat Pinning. Auf diese Weise akzeptieren Sie nur dieses spezifische Zertifikat und ein Mann im mittleren Angriff mit einem anderen Zertifikat ist nicht möglich.
danke, das macht Sinn – mtyson