Certyfikat SSL dla usług internetowych REST (używanych przez Androida)?

Question

Mam witrynę internetową z szeregiem usług internetowych RESTful, z których korzysta aplikacja dla systemu Android. Chcę, aby wszystkie żądania przechodziły przez HTTPS. Dlatego potrzebuję certyfikatu SSL dla mojej witryny.

Pytanie: Czy muszę kupić certyfikat SSL lub czy mogę w tym przypadku użyć certyfikatu z podpisem własnym? (Nie chcę marnować pieniędzy na coś, czego nie potrzebujesz.)

mogę myśleć o tych podejść:

1. kupić certyfikat SSL z Extended Validation (zielony adres bar). Prawdopodobnie nie jest to konieczne.
2. Kup certyfikat SSL bez ważnej walidacji. To powinno wystarczyć, nie?
3. Samodzielnie zarejestruj certyfikat SSL. Nie wiesz, co to oznacza?

Answer 1

Jeśli Twoim największym zmartwieniem nie jest wydawanie pieniędzy, http://www.startssl.com/ zapewnia bezpłatne podstawowe certyfikaty SSL przez rok, więc warto się nimi zająć. Nie wiem od ręki, które urzędy certyfikacji są domyślnie zaufane w systemie Android, więc może się okazać, że są faktycznie takie same, jak samopodpisany certyfikat z perspektywy aplikacji.

Korzystanie z samopodpisanego certyfikatu wymagałoby znalezienia sposobu upewnienia się, że aplikacja na Androida oczekuje certyfikatu z podpisem własnym i zaufała nie tylko początkowemu certyfikatowi, ale także certyfikatom zastępującym w przyszłości. Podejrzewam, że jest to więcej kłopotów, niż jest to warte, chociaż nie wiem zbyt wiele na temat rozwoju Androida lub aplikacji, więc mogę przeceniać trudności.

Certyfikat EV zapewnia silniejszą gwarancję dla klienta, że ​​usługa jest faktycznie Twoją usługą i jest własnością użytkownika, ale wiąże się z dodatkowymi kosztami. Wybór certyfikatu EV kontra DV staje się bardziej wyrokiem dotyczącym oceny ryzyka/nagrody. Zazwyczaj widzę tylko certyfikaty EV w witrynach finansowych i innych, gdzie zazwyczaj oczekuje się wysokiego poziomu bezpieczeństwa.