Есть железное устройство, общающееся с REST API по HTTPS. У сервера нормальный сертификат, выданный Comodo. Как правильно организовать проверку сертификата на устройстве в долгосрочной перспективе?
Можно закинуть на устройство Root сертификат Comodo и проверять по нему, но
- В таком случае все последующие обновления сертификата сервера придется проводить у Comodo и надеяться, что эта компания будет здравствовать;
- Сертификат Comodo тоже когда-то истекает. Не завтра, но все же.
Другой вариант не сильно лучше - это закинуть актуальные сертификаты всех ключевых центров сертификации, как это
делает, например, Node.JS. В этом случае мы хотя бы не завязаны на одном центре сертификации, но остальные проблемы остаются.
Самоподписанный сертификат не вариант, т.к. с тем же REST API должны общаться и браузерные клиенты.
Просветите, как принято решать такую проблему. Возможно, я что-то не понимаю.
Простой
Простой
