我正在编写一个Android应用程序,它会向外部HTTPS restful资源发出一些http请求 - https://external_server/resources(我无法控制外部服务器)
我正在考虑处理external_server服务器的证书/公钥固定。
我想到一个问题弹出:如果external_server更改了SSL证书/公钥怎么办?如果证书/公钥已更改。我必须重新部署我的应用程序吗?
有什么想法吗?谢谢!
答案 0 :(得分:1)
您不应将证书固定用于您不拥有或控制的服务/证书,因为在服务更新其证书时您的应用会很快被破坏,您必须* 快速 *更新所有客户的应用程序。此外,您不能依赖特定的颁发者,因为所有者可能会选择更改其SSL证书提供者。
在您的情况下,您应该依赖此类服务的常规SSL证书验证例程。