1. Inicio
  2. Pregunta y respuesta
  3. Certificado SSL para servicios web REST (utilizado por Android)?

Certificado SSL para servicios web REST (utilizado por Android)?

2012-01-29 19 views
9

Tengo un sitio web con una serie de servicios web RESTful que utiliza una aplicación de Android. Quiero permitir que todas las solicitudes pasen por HTTPS. Por lo tanto, necesito un certificado SSL para mi sitio web.Certificado SSL para servicios web REST (utilizado por Android)?

Q: ¿Debo comprar un certificado SSL o puedo utilizar un certificado autofirmado en este caso? (No quiero gastar dinero en algo que no necesito.)

se me ocurre uno de estos enfoques:

  1. comprar un certificado SSL con Extended Validation (verde dirección bar). Probablemente no sea necesario.
  2. Compre un certificado SSL sin Extended Validation. Esto debería ser suficiente, ¿no?
  3. Firme personalmente un certificado SSL. ¿No estoy seguro de lo que esto implica?

Fuente

2012-01-29 l33t

Respuesta

4

Si su mayor preocupación es no gastar dinero http://www.startssl.com/ proporciona certificados SSL básicos gratuitos durante un año, por lo que puede valer la pena examinarlos. No sé de oficio qué CA son confiables por defecto en Android, por lo que puede ser efectivamente igual a un certificado autofirmado desde la perspectiva de la aplicación.

El uso de un certificado autofirmado requeriría encontrar la forma de asegurarse de que la aplicación de Android esperara ese certificado autofirmado y confiara no solo en su certificado inicial sino en cualquier certificado de reemplazo en el futuro. Sospecho que esto es más problemático de lo que vale, aunque no sé mucho sobre el desarrollo de Android o la aplicación en cuestión, así que puedo estar sobreestimando la dificultad.

Un certificado de EV proporciona una garantía más sólida para el cliente de que el servicio es realmente su servicio y de su propiedad, pero incurre en costos adicionales. Elegir un certificado EV versus DV se convierte más en una decisión de juicio de riesgo/recompensa. Como anécdota, normalmente solo veo certificados EV en sitios financieros y otros en los que normalmente esperaría encontrar un alto nivel de seguridad.

Fuente

2012-01-30 03:36:05

+0

¿Entonces un certificado autofirmado _might_ causa problemas en la API de HTTPS? Supongo que un certificado DV es el camino a seguir, ya que solo quiero evitar que se envíe información semi-confidencial en la red en texto sin formato. – l33t

+0

¡Una cosa más! ¿Qué sucede si el hotel web utiliza * alojamiento compartido *? ¿Eso no significa que no puedo usar un certificado SSL personalizado? – l33t

+1

En las comunicaciones SSL estándar, la aplicación del cliente no sabrá si está bien confiar en un certificado autofirmado. Debería proporcionar el certificado a la aplicación del cliente con anticipación y marcarlo como confiable en ese extremo. Si controlas la aplicación cliente que podría ser una opción, no sé si tienes suficiente acceso como desarrollador de aplicaciones para que el dispositivo Android confíe en tu certificado. Larga historia sí, un certificado DV es probablemente el mejor. –

Cuestiones relacionadas

 Cuestiones relacionadas