Câu hỏi này liên quan đến việc sử dụng SSL Pinning trong ứng dụng khách đối với api web và chứng chỉ hết hạn.Lỗi SSL và chứng chỉ hết hạn
Kịch bản:
tôi sở hữu example.com và có một tên miền phụ, nơi một api được lưu trữ, như vậy: api.example.com
Tôi muốn sử dụng api trên SSL, do đó, Chứng chỉ SSL được tạo cho tên miền phụ.
Sau khi giấy chứng nhận đã được mua lại, tôi có:
- Một Giấy chứng nhận Giấy chứng nhận Công
- Một Intermediate
- Một Private Key
Đó là sự hiểu biết của tôi mà tôi cài đặt các chứng chỉ trên máy chủ web của tôi.
Sau đó tôi muốn ứng dụng khách của tôi kết nối với api. Để giảm thiểu các cuộc tấn công của người đàn ông trung gian , tôi muốn sử dụng SSL Pinning, để khách hàng sẽ chỉ liên lạc với api của tôi, chứ không phải ai đó đang giả mạo nó.
Để ghim trong ứng dụng khách, tôi có hai lựa chọn, hoặc là chống lại chứng chỉ công khai hoặc trung gian .
Giả sử tôi triển khai điều này.
Điều gì xảy ra khi chứng chỉ trên api.example.com hết hạn?
Tôi hiểu rằng ứng dụng khách sẽ không hoạt động nữa.
Tôi có cần phải tạo lại toàn bộ các mục công khai/trung gian/riêng tư không? và sau đó đặt chứng chỉ công khai hoặc trung gian mới trong ứng dụng?
Câu hỏi:
tôi sẽ vẫn giống như các ứng dụng client để làm việc cho đến khi chứng chỉ trên api.example.com đã được cập nhật. Tất nhiên, một chứng chỉ mới có thể được đưa vào ứng dụng của khách hàng, nhưng những thứ như thời gian đưa ra sẽ mất thời gian.
Tôi làm cách nào để xử lý việc này?
Tôi đã đọc rằng Google cập nhật giấy chứng nhận của họ mỗi tháng, nhưng bằng cách nào đó quản lý để giữ cho các khóa công khai như nhau: How to pin the Public key of a certificate on iOS
Nếu đó là có thể, sau đó giải pháp là chỉ cần trích xuất khóa công khai từ máy chủ và kiểm tra nó với khóa công cộng được lưu trữ cục bộ ... nhưng Google làm như thế nào?
Cảm ơn
Chris