【问题标题】:Server Certificate Extension and interface with Android服务器证书扩展和与 Android 的接口
【发布时间】:2012-10-03 15:00:49
【问题描述】:

我们的 Android 应用程序与使用证书链的服务器交互,证书由 Verisign 颁发。到目前为止,我们能够与此端点建立 SSL 会话。此 Verisign 证书将于下个月到期。

问题: 1. 服务器站点是否应该从 Verisign 获得重新颁发的新证书并且一切正常? 2. 原证书的有效期可以延长而不发新的吗?

可以做些什么来确保平稳过渡?

【问题讨论】:

    标签: android ssl https ssl-certificate


    【解决方案1】:

    您需要获得新证书,但不需要由 Verisign 签发。 任何受信任的权威机构都可以签署证书。

    包含受信任颁发者的密钥库在这里:

    /system/etc/security/cacerts.bks
    

    【讨论】:

    • 我明白;但是,我们向客户提供了某个版本的应用程序,该版本信任来自 Verisign 的这些证书。我们希望轻松完成这一过渡,因此不想更改 CA。
    • 如果威瑞信 CA 遭到破坏或过期会怎样?除非您有充分的理由不使用(恕我直言),否则您应该始终使用平台信任存储。
    • 这一点很好理解。但是,对于这个版本,“如果扩展 Verisign 证书是唯一的选择”,应该采取哪些步骤?
    • @Samuh 在这种情况下,只需从 Verisign 获取新证书并要求服务器管理员替换它。
    • 重新信任存储位置:这与 ICS 的情况不同。使用平台信任库并不总是一个好主意:它有很多 CA,一旦任何一个被泄露,您就会很容易受到攻击。限制您信任的人(证书固定)可能是个好主意。
    【解决方案2】:

    您不能扩展证书,但您不应该这样做。只要服务器证书是由您信任的 CA(不是 VeriSign)颁发的,事情就应该继续工作。不过,您可能希望尽快更换证书,因为人们的时钟可能会延迟几天。

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 1970-01-01
      • 2020-01-19
      • 1970-01-01
      • 2021-11-11
      • 2014-09-05
      • 1970-01-01
      • 1970-01-01
      • 2021-10-03
      相关资源
      最近更新 更多