自签名证书VS https上的REST API CA证书

时间:2016-07-01 08:54:14

标签: rest ssl mobile https certificate

假设我们的服务器只运行REST API服务,只能在HTTPS上运行。 API的唯一消费者是移动应用程序。 我们需要来自CA的证书还是自签名证书就足够了?

2 个答案:

答案 0 :(得分:5)

您需要使用CA证书。否则,每个移动客户端都必须手动将证书设置为受信任。

您可以将证书嵌入到移动应用程序本身中(假设您分发应用程序),但是在更新证书时,或者为任何问题重新加密/替换证书都会出现问题。< / p>

使用全球信任的证书是可行的方法。

答案 1 :(得分:4)

你可以:

  • 保留自签名证书,但是您必须固定证书,如果私钥被泄露,则无法撤销该证书。
  • 使用自制的证书颁发机构,但您必须固定证书,并管理撤销过程(维护OCSP或CRL)。
  • 使用来自受信任CA的证书,将为您检查吊销,如果您想要额外的安全性,您仍然可以固定证书。

在我看来,使用受信任的CA更安全,更简单。

相关问题
最新问题