Android – работа с ssl-сертификатами?

Question

Андрей Апанасик @Suvitruf

Java/node.js/game-dev

Android – работа с ssl-сертификатами?

День добрый.

Появилась необходимость осуществлять запросы из своего приложения по защищённому каналу. Никогда раньше с SSL не работал. Как это осуществить?

Как я понял, для получения сертификата вполне хватит www.startssl.com

Про виды SSL сертификатов читал.

Но сертификат даётся на год. Судя по вопросам подобным на stackoverflow.com, ключ необходимо хранить в самом приложении. То есть, через год нам придётся выпускать обновление для игры, чтобы обновить в ней ключ?

Или это всё как-то по-другому реализуется?

Вопрос задан более трёх лет назад
9587 просмотров

2 комментария

Подписаться 7 Оценить 2 комментария

Решения вопроса 1

7 комментариев

Андрей Апанасик @Suvitruf Автор вопроса

1) А чем плохо использование одного и того же ключа на всех устройствах?
2) Как тогда это реализовывать на Андройде? =/

Написано более трёх лет назад
Maximus43 @Maximus43

1) Ничем, если нет задачи проводить аутентификацию по сертификатам. Если вы будете реализовывать проверку сертификатов в приложении самостоятельно, то публичные сертификаты вам не нужны. Просто создайте собственный клиентский сертификат со сроком жизни 30 лет и используйте его во всех приложениях. Как вариант можно использовать публичный сертификат, но не проверять период действия на сервере.

2) Это как вы сами решите, вариантов множество. Сначала определитесь, будете использовать публичные сертификаты, или создадите собственную PKI?

Написано более трёх лет назад
Андрей Апанасик @Suvitruf Автор вопроса

Да вот тут тоже не всё просто. На сервере, к которому запросы идут, ещё и сайт наш находится.
В будущем может понадобиться использовать https на нём, тогда придётся в любом случае покупать сертификат.

Вот и думаем, купить сейчас сразу, чтобы в будущем проблем не было, или всё же сгенерить самим.

Написано более трёх лет назад
Maximus43 @Maximus43

Определитесь, что вам надо. Если двухсторонний SSL для приложения, то делайте собственную проверку сертификатов с обоих сторон, генерируйте свои сертификаты и все будет отлично работать.
Если хотите пользоваться штатными средствами, то закажите публичный сертификат для сервера, можно взять бесплатный на том же startssl.com. Посмотрите как будет работать, потом можете купить платные сертификаты.
Можно купить сертификат для сайта, а шлюз для приложение разместить на другом IP и со своими сертификатами.

Написано более трёх лет назад
Андрей Апанасик @Suvitruf Автор вопроса

Если мы возьмём на startssl.com бесплатный, то продлить потом его можно будет тоже бесплатно?

Написано более трёх лет назад
Maximus43 @Maximus43

да

Написано более трёх лет назад
Андрей Апанасик @Suvitruf Автор вопроса

Спасибо за помощь)

Написано более трёх лет назад

Пригласить эксперта

Ответы на вопрос 2

5 комментариев

Андрей Апанасик @Suvitruf Автор вопроса

Тогда в теории его любой сможет скачать, что негативно скажется на безопасности. Или я не прав? )

Написано более трёх лет назад
nochkin @nochkin

Хранение ключа в приложении уже небезопасно само по себе. Ключ нельзя никому отдавать за пределы сервера никогда.

Вообще, у Android нет проблем идти по https. Приватный ключ нужен только на стороне сервера, а не клиента.
Если сертификат купленый, то там вообще никаких проблем нет. Если самописный, то там вроде надо просто мелкий хелпер написать, в котором будет указано что сертификату можно верить.

Написано более трёх лет назад
Андрей Апанасик @Suvitruf Автор вопроса

Приватный ключ нужен только на стороне сервера, а не клиента.

Ну, приватный да, только на сервере.

Но на клиенте то нужен открытый ключ?

Я видел на stackoverflow писали, что можно и без открытого ключа на клиенте делать.

Просто указать, что все узлы считать доверенными. Но безопасно ли это или нет? =/

Написано более трёх лет назад
nochkin @nochkin

Есть риск, конечно. Именно поэтому само-подписные сертификаты используются для тестирования или когда информация не представляет ценности.
Что бы не было опасно, надо использовать настоящие сертификаты.

На клиенте ничего хранить не надо (кроме того, что там уже есть на уровне ОС). Вся информация приходит от сервера при соединении.

Написано более трёх лет назад
Андрей Апанасик @Suvitruf Автор вопроса

А каким образом клиент будет дешифровывать сообщения от сервера без открытого ключа? Или при настройке соединения сервер сам его даст?

Написано более трёх лет назад

Комментировать

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

Java

+2 ещё

Простой
Selenide + Spring Boot. Как объявить страницу через метод open(), если класс страницы является bean?
- 1 подписчик
- 2 часа назад
- 12 просмотров
0

ответов
JavaScript

+2 ещё

Простой
Почему шрифт в JS prompt() белого цвета?
- 1 подписчик
- 2 часа назад
- 32 просмотра
2

ответа
Java

+1 ещё

Средний
Как настроить NAT для докер контейнера со ScyllaDB?
- 1 подписчик
- 6 часов назад
- 27 просмотров
0

ответов
Java

+1 ещё

Простой
Почему не видит WebSecurityConfigurerAdapter при попытке импортировать его в класс SecurityConfig?
- 1 подписчик
- 10 часов назад
- 31 просмотр
1

ответ
Java

Простой
Почему происходит два пустых вывода при чтении с клавиатуры?
- 1 подписчик
- 12 часов назад
- 36 просмотров
1

ответ
Цифровые сертификаты

Простой
Как обновить сертификат через certbot (--manual)?
- 1 подписчик
- вчера
- 31 просмотр
2

ответа
Java

+3 ещё

Средний
Пытаюсь подключиться к postgresql 16 через docker-compose, использую spring-boot 3.2.4, что не так?
- 1 подписчик
- 17 апр.
- 164 просмотра
3

ответа
Android

+2 ещё

Простой
Wi-Fi. Странное поведение Нет антен — сигнал слабый, но пароль проходит. Есть антены — сигнал хороший, но пишет «неверный пароль» Почему?
- 1 подписчик
- 17 апр.
- 394 просмотра
1

ответ
PostgreSQL

+2 ещё

Простой
Где искать рекомендуемые настройки SSL-аутентификации для Docker-образа Posgres?
- 1 подписчик
- 17 апр.
- 59 просмотров
3

ответа
Цифровые сертификаты

+1 ещё

Средний
Какой SSL-сертификат лучше использовать для стэйджинга?
- 2 подписчика
- 17 апр.
- 111 просмотров
2

ответа
Показать ещё Загружается…

Android-разработчик / Senior Android Developer

Ciliz • Санкт-Петербург

от 300 000 ₽

Android разработчик

Модульбанк

До 180 000 ₽

Middle Android разработчик

Effective Mobile

от 150 000 ₽

Написать программу иммитирующую поведение человека для выбора услуг

20 апр. 2024, в 00:08

10000 руб./за проект

Разработать мобильное приложение android "справочник студента"

20 апр. 2024, в 00:01

4000 руб./за проект

[python,go] Залить ВИДЕО в тикток

19 апр. 2024, в 23:00

5000 руб./за проект

Т.е. Вы хотите работать по HTTPS? А если сертификат сгенерировать самостоятельно и в приложении самостоятельно обработать проверку сертификата? У нас вроде нормально этот вариант работает.
Сами мы можем сгенерировать .key и .csr. Или и сертификат по ним можно самим создать?
Если можем сами, то, если мы сами сертификат подпишем, сможем задать ему срок, скажем, в 100 лет, и тогда не придётся его менять никогда?
Хостер согласится самоподписанный сертификат использовать?

Answer 1 · 2013-07-11 15:48:53

Для работы по https достаточно одного серверного сертификата.
Клиентский сертификат нужен только при взаимной авторизации 2-Way-SSL, при этом желательно на каждом устройстве иметь уникальный сертификат.
Оптимально использовать генерацию ключей и получение сертификата по протоколу SCEP, но в Андроиде встроенной поддержки SCEP нет.

Answer 2 · 2013-07-11 14:51:18

Divers @Divers

Можно качать ключ по фтп )

Ответ написан более трёх лет назад

5 комментариев

Answer 3 · 2013-07-11 19:09:10

Сервер сам его предоставит. Вопрос лишь в том, будет ли клиент доверять этому ключу. Об этом выше и написано. Если серт коммерческий — с доверием, как правило, проблем не будет. Если же он самоподписанный — откуда клиенту знать, что этому сертификату можно верить? — в таком случае требуется ему (клиенту) явно на это указать.

Android – работа с ssl-сертификатами?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт