Jon*_*all 4 ssl google-app-engine openssl ssl-certificate
我有一个iOS应用即将在使用Google App Engine作为其服务器后端的App Store中上线.捆绑在app二进制文件中的是*.appspot.com.通配符证书允许我使用捆绑证书的公钥要求SSL固定任何HTTPS连接.这有助于防止我的客户端/服务器通信中的中间人攻击.
当我设置它时,我知道谷歌循环他们的*.appspot.com.证书每个月或两个月.但是,我希望appspot.com每月使用相同的公钥,以便我的应用程序和服务器之间的通信不会被破坏.
但是,在最新的证书中,Google没有任何警告,已经更改了他们的公钥.现在我的应用程序是DOA,就我的服务器进行通信而言.我试图在*.appspot.com上使用SSL固定是错误的.证书?Google会在更改公钥时通知开发人员吗?我应该使用自己的证书和自定义域吗?
在一个有趣的巧合中,我刚刚在未来的博客文章中做了第一次编辑,关于固定(除了其他职责,我策划了云技术支持博客帖子)所以我对此绝对毫无疑问:
我试图在*.appspot.com上使用SSL固定是错误的.证书?
是的.
Google会在更改公钥时通知开发人员吗?
不,从上面看.
我应该使用自己的证书和自定义域吗?
对,就是这样.更一般地说,仅固定到您控制的公钥是最佳做法.
来自未来博客文章的其他建议:您的应用程序用户的某一部分不会更新 - 那么您如何进行任何轮换设置?如果例如5%的用户没有更新,你可以切断它们吗?博客的建议是让应用程序绕过它自己的固定检查,如果它知道它太旧了 - 比如说,如果系统时间至少比编译时加入应用程序的构建时间晚了六周; 至少,这样,非更新者"砖砌"是暂时的,而不是永久性的......
| 归档时间: |
|
| 查看次数: |
1320 次 |
| 最近记录: |