ssl и вопросы сертификата только для доступа к API

Question

У меня есть мобильное приложение, которое будет взаимодействовать с моим веб-сервером через https.У меня вопрос, нужно ли вообще беспокоиться об установке сертификата, поскольку весь трафик к этому API будет безголовым?

В моем понимании, SSL обеспечивает шифрование для запроса, а сертификат устанавливает доверие для конечного пользователя.Поскольку эти обращения к моему веб-серверу по сути будут безрезультатными, я думаю, мне не нужно беспокоиться об установлении доверия.

Правильно ли я верю в это мышление?

Answer 1

Вам понадобится самозаверяющий сертификат или CA-подписанный сертификат , чтобы использовать HTTPS на вашем сервере.

Если ваш сертификат не назначен вам центром сертификации, то любое ваше соединение будет вызывать ошибку в URLRequest, которую вам придется обработать .Проблема с ненадежным сертификатом заключается в том, что злоумышленник в середине может подделывать данные на сервер и с него с помощью своего собственного самозаверяющего сертификата и, возможно, получать учетные данные для аутентификации или данные, которые ему следуетнет доступа к.

Если вы имеете дело с какими-либо учетными данными для аутентификации или другими личными данными, я бы рекомендовал просто запросить подписанный сертификат.Если вы ходите по магазинам, вы можете найти дешевые подписанные сертификаты на сумму 10-20 долларов в год, что является тривиальной стоимостью для защиты ваших пользователей.

Однако, если это всего лишь личный проект (единственные данные, которые вам нужнобеспокойтесь о вашем ), или любые данные, которые вы будете отправлять, находятся в свободном доступе, может быть достаточно самозаверяющего сертификата.