API 8 용으로 설계된 앱에 신뢰할 수있는 SSL 인증서 추가

Question

내 안드로이드 앱과 내 웹 서비스를 호스팅하는 서버 간의 연결에 SSL을 사용하고 싶습니다.

나는 자체 서명 된 인증서를 사용하고 SSLSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER

를 사용하지만 다음 끼어 들기 공격에 취약점이있을 것입니다 싶었다, 그래서 신뢰할 수있는 인증서를 사용하기로 결정했다.

나는 인증서를 구입하는 것입니다,하지만 난 CA를 가장 신뢰할 수있는 알고 싶어하고 어떻게이 link 및 this one을 확인하고 첫 번째 링크에 설명 된 솔루션을 선택했다 BKS

을 생성하는 방법 , 즉 탄력 성 라이브러리로 생성하고 앱의 원시 리소스로로드합니다. 안전한 방법일까요? android 2.2를 사용하는 기기에서 안전하게 작동합니까?

나는이 모든 것이 어떻게 작동 하는지를 배우려고 노력하고 있지만 인증서를 사용하는 것은 나의 첫 경험이다.

대단히 감사합니다!

Answer 1

자체 서명 된 인증서는 man-in-the-middle 공격에 본질적으로 취약하지 않습니다. ALLOW_ALL_HOSTNAME_VERIFIER을 사용하는 것이므로 사용해서는 안됩니다. 앱을 올바르게 설정하여 자체 서명 인증서를 신뢰하고 유효성을 올바르게 확인하면 실제로 보안 문제가 없습니다.

인증서를 구매하려는 경우 Android 2.2와 함께 제공되는 CA에서 인증서를 하나만 받아 와서 맞춤 신뢰 저장소 및 추가 코드를 처리 할 필요가 없습니다. 시스템이 발행 CA.