为我的移动应用程序自签SSL证书？

Question

我的手机(iOS和Android)通过REST通过HTTP连接到我的服务器。我希望HTTP是安全的，所以HTTPS似乎是显而易见的选择。所有关于自签名SSL证书的问题都警告说，如果您自己签名，并且用户不认识您，网站的用户将如何不信任您。但在这种情况下，我不需要我的用户信任我，而是应用程序必须信任我。这种方法有什么问题吗?还是我应该把钱花在一个CA上，这样我就不用担心了？

Answer 1

对于您的特定用例，可以使用自签名证书。

当您控制应用程序时，您不必使用浏览器识别的证书，这是受信任CA认证的关键点。

在功能上，安全性没有区别。请参阅：从安全角度看，自签名证书是否与CA不同？

Answer 2

你可以得到一个大约10美元的SSL证书。没有得到一个更多的麻烦比钱是值得的。

Answer 3

系统的安全性取决于客户端的实现。证书本质上所做的就是提供一个“商定的加密通信协议”。实际上，通信的安全性取决于是否有人在扮演“人在中间”。

那么，如何验证接收到的证书是否与源希望您使用的证书相同？这要么是通过第三方验证器(这是向CA支付的内容)，要么是通过客户端(从以前的硬编码实现)已经知道证书应该是什么样子的。

格拉！