我们需要在移动应用中实施证书固定功能。我们使用Appcelerator Titanium作为构建相同的框架。 有一个AFNetworking模块支持证书固定。
值得关注的是,如果我们将证书存储在应用程序中并在上传到App Store / Play商店时捆绑它;如果证书过期会发生什么? 我们是否必须使用捆绑的续订证书推送另一个更新?或者是否有一种机制可以在移动应用程序中更新证书?
答案 0 :(得分:1)
如果我们将证书存储在应用程序中并在上传到App Store / Play商店时捆绑它;如果证书到期会发生什么?
您在应用中包含一个信任库,其中包含用于验证SSL连接的可信CA根。如果根目录过期,则SSL连接将失败。这是预期的行为。您可以忽略它(java - ignore expired ssl certificate),但随后降低安全级别,这是包含信任的主要原因
我们是否必须使用捆绑的续订证书推送另一个更新?
此操作将解决此问题。请注意,如果您使用受信任的CA(如verisign),则证书的过期时间非常长,因此这不是常见的操作。事实上,当它到期时你会提前知道
或者是否有一种机制可以在移动应用程序中更新证书?
我认为可以设置服务以在根CA到期之前下载新的信任 ,并在Android应用程序中使用自定义信任管理器