在J2ME中,当您使用包含中间证书(例如从Verisign获得的证书链)的证书链对JAR进行签名时,设备是否需要在验证期间安装中间证书以及根证书?
我猜答案是否定的,因为中间证书存储在MIDlet-n-m属性中的JAD文件中,其中m为2或更大,我相信设备在验证时引用它们。如果这是真的,那么J2ME证书与需要在浏览器中安装中间证书的SSL网站证书不同,对吗?
最后,如果这一切都是真的,那么任何从Verisign或任何其他CA获得证书的人都不能在设备上获得证书,然后签署他们朋友的证书然后他们的朋友会被信任吗?
如果这一切都是真的,那么似乎是系统中的一个缺陷...
答案 0 :(得分:1)
通过verisign获得的证书通常会被信任签署MIDlet而不是其他证书。受信任签署MIDlet的证书通常不被信任签署本机应用程序。
在这个和(非常高级且并不总是可用)撤销证书的能力之间,只要信任之前进行尽职调查,系统就相当安全(因此您的移动网络运营商不会开始信任特洛伊木马等等)。 。)
坦率地说,无论如何,移动电视都不具备固有的安全性。