Estoy desarrollando un juego para Android.
Los clientes que usen el juego deberán enviar su información a un servicio web REST que, entre bastidores, se conectará a una base de datos MySQL.
Me gustaría cifrar los datos que el cliente transmitirá desde la aplicación al servicio web y me pregunto qué tipo de certificado SSL necesitaré para eso.
No se está comunicando directamente con MySQL, se está comunicando con el servidor REST (probablemente a través de HTTPS) y, por lo tanto, necesita un certificado SSL, no para MySQL, sino para su API REST.
Si el servicio REST es suyo, deberá habilitarlo mediante SSL instalando un certificado en el servidor web que lo ejecuta. Si está a cargo de otra persona, entonces deben hacerlo.
Y si es su servicio, y solo es usado por su cliente, entonces usted puede (y probablemente debería, si sabe cómo) crear su propia CA de SSL para firmar el certificado asociado, y luego codifique su aplicación para que solo confíe en los certificados que usted firme. Esto significaría que no necesita comprar certificados y también que no puede ser víctima de ningún tipo de ataque SSL MITM. Tenga en cuenta que solo debe seguir esta ruta si realmente sabe lo que está haciendo. De lo contrario, simplemente compre un certificado validado de dominio como lo hacen todos los demás.
El SSL-Cert debe ser válido para su REST - API y no tiene nada que ver con MySQL.
solo ordene / cree su certificado, inclúyalo en el servidor / servicio que proporciona su API y listo.
Si va a utilizar un certificado autofirmado, esto causará problemas de seguridad, ya que los certificados autofirmados crean problemas de compatibilidad en los navegadores web, servidores de sistemas operativos y dispositivos móviles.
Le recomiendo que utilice una Autoridad de certificación (CA) de terceros para proteger sus datos en Internet.
Lea otras preguntas en las etiquetas tls android web-service