【问题标题】:Secure connection to server from PhoneGap without buing SSL certificate无需购买 SSL 证书即可从 PhoneGap 安全连接到服务器
【发布时间】:2014-04-02 20:53:23
【问题描述】:

我想建立一个安全连接,以便从 PhoneGap 应用程序中的数据(需要登录)中获取数据。有没有办法在不购买 ssl 证书的情况下做到这一点?

我是否可以使用自签名证书并将证书(或其指纹)添加到 PhoneGap 应用程序中,以便它可以始终检查证书是否正确,并且不会发生中间人攻击?

【问题讨论】:

  • 我相信如果应用程序知道自签名证书是受信任的证书,它会很好。唯一可能的问题是您是否需要吊销证书,但我想您可以通过应用更新来做到这一点。

标签: security cordova ssl ssl-certificate


【解决方案1】:

有没有办法在不购买 ssl 证书的情况下做到这一点?

是的。

akirilov 给了你一个答案。

您的其他选择是使用Startcom。他们提供免费的 1 类证书。他们的证书颁发机构安装在大多数桌面和移动平台上。

使用 CA Zoo 的坏处是只有一个 CA 认证了您的证书(无论是 Startcom、Verisidn 等)。但是,动物园的任何 CA 都可以声称自己是证书颁发机构。因此,欺骗 CA 或危害 CA 的坏人将能够为您的服务器获取证书。我们在过去看到过这两种情况。

您可以通过证书固定避开 CA Zoo。请参阅 OWASP 的Certificate and Public Key Pinning


我是否可以使用自签名证书并将证书(或其指纹)添加到 PhoneGap 应用程序中,以便它可以始终检查证书是否正确,并且不会发生中间人攻击?

是的,这也很好。您的 Phone Gap 应用程序需要执行证书验证,并接受您的自签名证书。

要在 .Net、Java、iOS 等中进行类似操作,您需要固定服务器的证书,因为您事先知道它是什么。不过,我不知道如何在 PhoneGap 中做到这一点。

有关在 .Net、Java、iOS 等中固定的信息,请参阅 OWASP 的Certificate and Public Key Pinning。有适用于主要平台的示例代码,包括 OpenSSL。

【讨论】:

    猜你喜欢
    • 2011-12-28
    • 1970-01-01
    • 2011-12-31
    • 1970-01-01
    • 2012-10-23
    • 2016-07-12
    • 1970-01-01
    • 1970-01-01
    • 2017-07-27
    相关资源
    最近更新 更多