Certificado SSL para serviços web REST (usado pelo Android)?

9

Eu tenho um site com vários serviços da web RESTful que são usados por um aplicativo Android. Desejo que todas as solicitações passem por HTTPS . Por isso, preciso de um certificado SSL para o meu site.

P: Preciso comprar um certificado SSL ou posso usar um certificado autoassinado nesse caso? (Eu não quero gastar dinheiro com algo que eu não preciso.)

Eu posso pensar nessas abordagens:

  1. Compre um certificado SSL com Validação Estendida (endereço verde Barra). Provavelmente não é necessário.
  2. Compre um certificado SSL sem Validação Estendida. Isso deve ser suficiente, não?
  3. Assinatura automática de um certificado SSL. Não tem certeza do que isso implica?
por l33t 30.01.2012 в 00:33

1 resposta

4

Se a sua maior preocupação é não gastar dinheiro, o link fornece certificados SSL básicos gratuitos por um ano, o que pode valer a pena investigar. Não sei de que mão-de-obra as CAs são confiáveis por padrão no Android, por isso, pode ser efetivamente o mesmo que um certificado autoassinado do ponto de vista do aplicativo.

O uso de um certificado autoassinado exigiria uma maneira de garantir que o aplicativo Android esperasse esse certificado autoassinado e confiássemos não apenas seu certificado inicial, mas também certificados de substituição no futuro. Eu suspeito que isso é mais problema do que vale a pena, embora eu não saiba muito sobre o desenvolvimento Android ou o aplicativo em questão, então eu posso estar superestimando a dificuldade envolvida.

Um certificado EV fornece uma garantia mais forte para o cliente de que o serviço é realmente seu serviço e pertence a você, mas incorre em custos adicionais. A escolha de um certificado EV versus DV torna-se mais uma avaliação de risco / recompensa. Anualmente, eu normalmente só vejo certificados de EV em sites financeiros e outros onde você normalmente espera encontrar um alto nível de segurança.

    
por Matt Glover 30.01.2012 / 04:36