Нужно ли моему мобильному приложению центр сертификации (CA) для API RestFul?и какой тип CA (Public / Private)? - PullRequest
0 голосов
/ 26 декабря 2018

Наше приложение (Apache Cordova) использует номер телефона для проверки.Мы не сохраняем конфиденциальную информацию о пользователях, кроме: отображаемого имени, номеров достижений, списка друзей и т. Д.

Все текущие запросы (с мобильного телефона клиента) в наш API используют http , а не https .Наш внутренний API размещен на сервере AWS без использования CA.

Я не уверен, нужно ли нам в нашем случае использовать https или нет.Однако, когда я попытался создать CA через AWS ACM, меня спросили, должен ли это быть Private CA или Public CA!Я выбрал общедоступный, но снова запутался.

Должен ли я использовать Public CA или Private CA для мобильного сервера RestFul API?Нужен ли мне https или он не стоит в моей ситуации ??

1 Ответ

0 голосов
/ 27 декабря 2018

В 2018 2019, https должен быть по умолчанию для любого API более http , поскольку безопасность данных всегда должна быть по проекту .

Мы не храним никакой конфиденциальной информации о пользователях, кроме: отображаемого имени, номеров достижений, списка друзей и т. Д.

Номера телефонов со списком друзей являются потенциально конфиденциальными данными.

Центр сертификации

В криптографии, центр сертификации или центр сертификации (CA)это организация, которая выдает цифровые сертификаты.Цифровой сертификат удостоверяет право собственности на открытый ключ по имени субъекта сертификата.Это позволяет другим (доверяющим сторонам) полагаться на подписи или утверждения, сделанные в отношении закрытого ключа, который соответствует сертифицированному открытому ключу.CA действует как доверенная третья сторона, которой доверяют как субъект (владелец) сертификата, так и сторона, полагающаяся на сертификат.(из Википедии)

Я думаю, что вам лучше получить сертификат SSL от одного из множества поставщиков, доступных в Интернете (AWS ACM, Cloudflare, ...), с использованием общедоступного CA.Это необходимо иметь в общедоступных службах, потому что вам нужно, чтобы каждый браузер / клиент мог распознать ваш сертификат https как действительный, и это делается путем проверки его знака по встроенному набору (общедоступных) данных CA.Обратите внимание, что это очень простое представление о реальном механизме безопасности https, поэтому, пожалуйста, поищите дополнительную информацию в Интернете.

Давайте зашифруем

Еще одно бесплатное решение - использовать Давайте зашифруем для создания бесплатного SSL-сертификата.Давайте зашифруем - это общедоступный центр сертификации, который предоставляет SSL-сертификаты бесплатно, и у вас есть множество инструментов для их автоматического управления.

Подробнее о безопасности REST

Предлагаю вам также проверить OWASP RESTШпаргалка по безопасности для получения более полезной информации о REST API.

Добро пожаловать на сайт PullRequest, где вы можете задавать вопросы и получать ответы от других членов сообщества.
...