Certificado SSL para servicios web REST (utilizado por Android)?

Question

Tengo un sitio web con una serie de servicios web RESTful que utiliza una aplicación de Android. Quiero permitir que todas las solicitudes pasen por HTTPS. Por lo tanto, necesito un certificado SSL para mi sitio web.

Q: ¿Debo comprar un certificado SSL o puedo utilizar un certificado autofirmado en este caso? (No quiero gastar dinero en algo que no necesito.)

se me ocurre uno de estos enfoques:

1. comprar un certificado SSL con Extended Validation (verde dirección bar). Probablemente no sea necesario.
2. Compre un certificado SSL sin Extended Validation. Esto debería ser suficiente, ¿no?
3. Firme personalmente un certificado SSL. ¿No estoy seguro de lo que esto implica?

Answer 1

Si su mayor preocupación es no gastar dinero http://www.startssl.com/ proporciona certificados SSL básicos gratuitos durante un año, por lo que puede valer la pena examinarlos. No sé de oficio qué CA son confiables por defecto en Android, por lo que puede ser efectivamente igual a un certificado autofirmado desde la perspectiva de la aplicación.

El uso de un certificado autofirmado requeriría encontrar la forma de asegurarse de que la aplicación de Android esperara ese certificado autofirmado y confiara no solo en su certificado inicial sino en cualquier certificado de reemplazo en el futuro. Sospecho que esto es más problemático de lo que vale, aunque no sé mucho sobre el desarrollo de Android o la aplicación en cuestión, así que puedo estar sobreestimando la dificultad.

Un certificado de EV proporciona una garantía más sólida para el cliente de que el servicio es realmente su servicio y de su propiedad, pero incurre en costos adicionales. Elegir un certificado EV versus DV se convierte más en una decisión de juicio de riesgo/recompensa. Como anécdota, normalmente solo veo certificados EV en sitios financieros y otros en los que normalmente esperaría encontrar un alto nivel de seguridad.