带有证书钉扎的移动应用程序 - DMZ盒上的SSL证书，带有可信CA和我自己的CA.

Question

我正在开发一个带有证书固定的移动应用程序。我将在DMZ中有一个代表我的请求的方框。该服务器是否具有来自可信CA的证书，或者我可以使用我自己的CA生成的证书吗？

从移动客户端使用受信任的CA有什么好处？

此外，我将在之后使用我自己的CA生成的证书打几个不同的服务器。我也应该把它们钉在那里吗？我假设是的，即使在网络中，固定两者也是最好的。但这是必要的吗？

谢谢！

Answer 1

如果您使用自己的CA，则自行管理撤销流程，这很难。

Answer 2

如果您使用自定义CA，则意味着您必须：

• 将使用您的应用的所有移动设备配置为自定义CA.如果您无法控制移动设备，则无法做到这一点，无论如何将CA推送到设备的信任存储都是一种负担。
• 禁用系统的默认证书验证，以便您的应用程序接受自定义CA，然后重新验证服务器的链并进行固定。几乎不可能做到这一点，所以你最有可能最终得到一个不安全的HTTPS连接。

从可信任的CA购买证书。

对于代理和内部服务器之间的连接，您可以实现SSL固定，但与移动客户端相比，攻击面减少的优先级更低。