Как отправить обновление сертификата SSL в работающее приложение?
Вам не нужно распространять сертификат сервера на клиентские устройства, если он подписан центром сертификации, которому они доверяют.
В идеале клиентские системы должны доверять центру сертификации (ЦС), который имеет очень большой срок действия (например, 20 лет). Затем этот CA выдает веб-серверам краткосрочные сертификаты (например, 6-12 месяцев). Клиенты будут доверять этим сертификатам, потому что они подписаны доверенным центром сертификации.
Вот как сегодня работает общедоступная сеть. CA - это компании с крупными страховыми полисами, такие как Verisign, и поставщики ОС или браузеров определяют, какие центры сертификации делают надрез и включаются в пакеты сертификатов, которыми они управляют с помощью своих собственных механизмов (например, автоматических обновлений).
Таким образом, можно просто купить сертификат HTTPS в общедоступном CA .
Вы также можете быть вашим собственным ЦС, но тогда вам необходимо управлять защитой высокочувствительных ключей корневого ЦС и распределением вашего сертификата ЦС на все клиентские устройства.