我有一个网站,其中包含一些Android应用程序使用的RESTful Web服务 . 我想让所有请求都通过 HTTPS . 因此,我需要为我的网站提供SSL证书 .
HTTPS
Q: 我是否需要购买SSL证书?在这种情况下我可以使用自签名证书吗? (我不需要 . )
我可以想到这些方法:
购买带有扩展验证的SSL证书(绿色地址栏) . 可能没必要 .
购买没有扩展验证的SSL证书 . 这应该足够了,不是吗?
自签SSL证书 . 不确定这意味着什么?
如果你最关心的不是花钱http://www.startssl.com/提供一年免费的基本SSL证书,这可能值得研究 . 我不知道默认情况下Android中哪些CA是受信任的,因此从应用程序的角度来看,它可能与自签名证书有效 .
使用自签名证书需要找到一种方法来确保Android应用程序期望自签名证书并且不仅信任您的初始证书,还要信任将来的任何替换证书 . 虽然我对Android开发或相关应用程序知之甚少,但我怀疑这比它的 Value 更麻烦,所以我可能高估了所涉及的难度 .
EV证书确实为客户提供了更强的保证,即服务实际上是您的服务并由您拥有,但它确实会产生额外费用 . 选择EV与DV证书变得更像是风险/奖励判断 . 传闻说,我通常只会在金融网站上看到EV证书,而其他人通常会在安全性方面找到高标准 .
1 回答
如果你最关心的不是花钱http://www.startssl.com/提供一年免费的基本SSL证书,这可能值得研究 . 我不知道默认情况下Android中哪些CA是受信任的,因此从应用程序的角度来看,它可能与自签名证书有效 .
使用自签名证书需要找到一种方法来确保Android应用程序期望自签名证书并且不仅信任您的初始证书,还要信任将来的任何替换证书 . 虽然我对Android开发或相关应用程序知之甚少,但我怀疑这比它的 Value 更麻烦,所以我可能高估了所涉及的难度 .
EV证书确实为客户提供了更强的保证,即服务实际上是您的服务并由您拥有,但它确实会产生额外费用 . 选择EV与DV证书变得更像是风险/奖励判断 . 传闻说,我通常只会在金融网站上看到EV证书,而其他人通常会在安全性方面找到高标准 .