Chứng chỉ SSL cho các dịch vụ web REST (được Android sử dụng)?

Question

Tôi có một trang web với một số dịch vụ web RESTful được một ứng dụng Android sử dụng. Tôi muốn cho tất cả các yêu cầu đi qua HTTPS. Do đó, tôi cần chứng chỉ SSL cho trang web của mình.

Q: Tôi có cần mua chứng chỉ SSL hoặc tôi có thể sử dụng chứng chỉ tự ký trong trường hợp này không? (Tôi không muốn lãng phí tiền vào một cái gì đó tôi không cần.)

tôi có thể nghĩ ra những cách tiếp cận:

1. Mua một giấy chứng nhận SSL với Validation Extended (màu xanh lá cây địa chỉ thanh). Có lẽ không cần thiết.
2. Mua chứng chỉ SSL mà không có Xác thực mở rộng. Điều này là đủ, phải không?
3. Tự ký chứng chỉ SSL. Bạn không chắc chắn điều này ngụ ý gì?

Answer 1

Nếu mối quan tâm lớn nhất của bạn không chi tiêu tiền http://www.startssl.com/ cung cấp chứng chỉ SSL cơ bản miễn phí trong một năm để có thể đáng xem xét. Tôi không biết off-hand mà CA được tin cậy theo mặc định trong Android để nó có thể bật ra có hiệu quả giống như một chứng chỉ tự ký từ quan điểm của ứng dụng.

Sử dụng chứng chỉ tự ký sẽ yêu cầu tìm cách đảm bảo ứng dụng Android dự kiến ​​chứng chỉ tự ký và tin cậy không chỉ chứng chỉ ban đầu của bạn mà còn bất kỳ chứng chỉ thay thế nào trong tương lai. Tôi nghi ngờ đây là rắc rối nhiều hơn nó có giá trị mặc dù tôi không biết nhiều về phát triển Android hoặc các ứng dụng trong câu hỏi vì vậy tôi có thể đánh giá quá cao những khó khăn liên quan.

Chứng chỉ EV cung cấp đảm bảo mạnh mẽ hơn cho khách hàng rằng dịch vụ thực sự là dịch vụ của bạn và thuộc sở hữu của bạn nhưng nó phải chịu thêm chi phí. Chọn chứng chỉ EV so với DV sẽ trở thành một cuộc gọi đánh giá rủi ro/phần thưởng. Trước đây, tôi thường chỉ nhìn thấy chứng chỉ EV trên các trang web tài chính và những người khác, nơi bạn thường muốn tìm một thanh cao để bảo mật.