¿Firmar automáticamente el certificado SSL para mi aplicación móvil?

10

Mi móvil (iOS y Android) se conecta a mi servidor a través de una API REST a través de HTTP. Me gustaría que HTTP fuera seguro, entonces HTTPS parece ser la opción obvia. Todas las preguntas sobre la firma de certificados SSL advierten sobre cómo los usuarios de un sitio web no confiarán en usted si usted se autofirma y no lo conoce. Pero en este caso, no necesito que mis usuarios confíen en mí, sino que la aplicación tiene que confiar en mí. ¿Hay algún problema con este enfoque o debería simplemente desembolsar el dinero a una de las CA para que no tenga que preocuparme?

    
pregunta Max 04.12.2012 - 14:13
fuente

4 respuestas

11

Para su caso de uso particular, un certificado autofirmado estaría bien.

Al controlar la aplicación, no tiene que usar certificados reconocidos por los navegadores, que es el punto clave de un certificado por una CA confiable.

Funcionalmente, no hay diferencia en la seguridad. Consulte: Does Self ¿Los certificados firmados difieren de CA desde un punto de vista de seguridad?

    
respondido por el Ayrx 04.12.2012 - 15:34
fuente
2

La seguridad del sistema depende de la implementación del cliente. Todo lo que un certificado hace inherentemente es proporcionar un "protocolo de comunicación cifrado acordado". Qué tan segura es la comunicación en la actualidad es si hay o no alguien jugando "hombre en el medio".

Entonces, ¿cómo verifica que el certificado recibido sea el mismo certificado que la fuente desea que use? Eso es a través de un verificador de terceros (que es lo que viene con el pago a una CA) o a través del cliente que (de una implementación previamente codificada) ya cuál es el aspecto del certificado.

gluck!

    
respondido por el bleuf1shi 06.12.2012 - 16:17
fuente
1

Puedes obtener un certificado SSL por algo así como $ 10. No conseguir uno crea mucho más problemas de lo que vale el dinero.

Puede escribir código para verificar de forma segura el certificado SSL autofirmado en su aplicación, pero el potencial de cometer errores es mayor que cero, y por lo tanto no vale la pena.

    
respondido por el Joel L 04.12.2012 - 14:28
fuente
0

El uso de certificados auto-cantados es generalmente una mala idea. Considere el escenario: codifique la huella digital de su certificado para asegurarse de que no haya MITM. Imagine que su servidor se ve comprometido, y necesita revocar el certificado y emitir uno nuevo.

Piense en las consecuencias para su base de usuarios: tener que actualizar una nueva versión de la aplicación.

¿Es posible? Es, aunque su kilometraje puede variar, como dicen. Se resuelve el perfil de riesgo de los datos que está transfiriendo y la naturaleza de las transacciones. Por ejemplo, si tienes un juego y transfieres solo las puntuaciones más altas, entonces debería estar bien. Sin embargo, si comienza a realizar otras transacciones, como el registro de usuarios, no sería tan bueno.

    
respondido por el Milen 25.11.2017 - 14:25
fuente

Lea otras preguntas en las etiquetas