服务器用https,面向的是手机客户端api接口调用,这种情况下,用自签名的证书是不是就可以了?
yakczh 2013-12-17 17:18:58 +08:00 6187 次点击这是一个创建于 4368 天前的主题,其中的信息可能已经有所发展或是发生改变。
 | 1 dorentus 2013-12-17 17:32:24 +08:00 我觉得可以。 不过最好得在你的客户端里面自己验证一下自己用的证书。 |
 | 2 Shieffan 2013-12-17 17:40:06 +08:00 你的手机客户端要能读到你用于自签名的根证书。。那就是安全的。 |
 | 3 9hills 2013-12-17 17:49:04 +08:00 可以的,以前搞过 |
 | 4 est 2013-12-17 18:10:45 +08:00 自己用自己签名的证书。很好很安全。不过你的私钥被盗就SB了。 |
| 5 Shieffan 2013-12-17 18:56:50 +08:00 via iPhone @est 其实还好吧,就算是找CA签名的证书,私钥丢了吊销后不知道多久才会更新吊销列表到客户端,移动平台就更别提了。如果是自己维护的客户端,更新个新版本使用新的根证书就行了。 |
 | 6 jimrok 2013-12-18 13:52:31 +08:00 你要验证证书,否则就是不安全的。 |
 | 7 yakczh OP @jimrok http.use_ssl = true if uri.scheme == "https" # enable SSL/TLS http.verify_mode = OpenSSL::SSL::VERIFY_NONE 如果客户端这样请求,那整个传输是不是就不是加密的? |
 | 11 fanweixiao 2013-12-19 02:12:03 +08:00 你更关心数据传输过程中的安全,还是为了要验证server端一定是你? |
| 12 yakczh OP @fanweixiao 关心传输的安全,因为其中有很多采集的用户个人信息, 服务端的接口地址是写在apk里的,除非开发者重新发布一个修改服务器接口地址的版本 就象修改hosts文件一样,这样就可以客户端可以将数据传到假冒的服务器接口 |
Select Language