Android – работа с ssl-сертификатами?

Question

[Андрей Апанасик]

День добрый.


Появилась необходимость осуществлять запросы из своего приложения по защищённому каналу. Никогда раньше с SSL не работал. Как это осуществить?


Как я понял, для получения сертификата вполне хватит www.startssl.com

Про виды SSL сертификатов читал.


Но сертификат даётся на год. Судя по вопросам подобным на stackoverflow.com, ключ необходимо хранить в самом приложении. То есть, через год нам придётся выпускать обновление для игры, чтобы обновить в ней ключ?

Или это всё как-то по-другому реализуется?

Comments

[palmut]

Т.е. Вы хотите работать по HTTPS? А если сертификат сгенерировать самостоятельно и в приложении самостоятельно обработать проверку сертификата? У нас вроде нормально этот вариант работает.

[Андрей Апанасик]

Сами мы можем сгенерировать .key и .csr. Или и сертификат по ним можно самим создать?
Если можем сами, то, если мы сами сертификат подпишем, сможем задать ему срок, скажем, в 100 лет, и тогда не придётся его менять никогда?
Хостер согласится самоподписанный сертификат использовать?

Answer 1

[Maximus43]

Для работы по https достаточно одного серверного сертификата.
Клиентский сертификат нужен только при взаимной авторизации 2-Way-SSL, при этом желательно на каждом устройстве иметь уникальный сертификат.
Оптимально использовать генерацию ключей и получение сертификата по протоколу SCEP, но в Андроиде встроенной поддержки SCEP нет.

Comments

[Андрей Апанасик]

1) А чем плохо использование одного и того же ключа на всех устройствах?
2) Как тогда это реализовывать на Андройде? =/

[Maximus43]

1) Ничем, если нет задачи проводить аутентификацию по сертификатам. Если вы будете реализовывать проверку сертификатов в приложении самостоятельно, то публичные сертификаты вам не нужны. Просто создайте собственный клиентский сертификат со сроком жизни 30 лет и используйте его во всех приложениях. Как вариант можно использовать публичный сертификат, но не проверять период действия на сервере.

2) Это как вы сами решите, вариантов множество. Сначала определитесь, будете использовать публичные сертификаты, или создадите собственную PKI?

[Андрей Апанасик]

Да вот тут тоже не всё просто. На сервере, к которому запросы идут, ещё и сайт наш находится.
В будущем может понадобиться использовать https на нём, тогда придётся в любом случае покупать сертификат.

Вот и думаем, купить сейчас сразу, чтобы в будущем проблем не было, или всё же сгенерить самим.

[Maximus43]

Определитесь, что вам надо. Если двухсторонний SSL для приложения, то делайте собственную проверку сертификатов с обоих сторон, генерируйте свои сертификаты и все будет отлично работать.
Если хотите пользоваться штатными средствами, то закажите публичный сертификат для сервера, можно взять бесплатный на том же startssl.com. Посмотрите как будет работать, потом можете купить платные сертификаты.
Можно купить сертификат для сайта, а шлюз для приложение разместить на другом IP и со своими сертификатами.

[Андрей Апанасик]

Если мы возьмём на startssl.com бесплатный, то продлить потом его можно будет тоже бесплатно?

[Maximus43]

да

[Андрей Апанасик]

Спасибо за помощь)

Answer 2

[Divers]

Можно качать ключ по фтп )

Comments

[Андрей Апанасик]

Тогда в теории его любой сможет скачать, что негативно скажется на безопасности. Или я не прав? )

[nochkin]

Хранение ключа в приложении уже небезопасно само по себе. Ключ нельзя никому отдавать за пределы сервера никогда.

Вообще, у Android нет проблем идти по https. Приватный ключ нужен только на стороне сервера, а не клиента.
Если сертификат купленый, то там вообще никаких проблем нет. Если самописный, то там вроде надо просто мелкий хелпер написать, в котором будет указано что сертификату можно верить.

[Андрей Апанасик]

Приватный ключ нужен только на стороне сервера, а не клиента.

Ну, приватный да, только на сервере.

Но на клиенте то нужен открытый ключ?

Я видел на stackoverflow писали, что можно и без открытого ключа на клиенте делать.

Просто указать, что все узлы считать доверенными. Но безопасно ли это или нет? =/

[nochkin]

Есть риск, конечно. Именно поэтому само-подписные сертификаты используются для тестирования или когда информация не представляет ценности.
Что бы не было опасно, надо использовать настоящие сертификаты.

На клиенте ничего хранить не надо (кроме того, что там уже есть на уровне ОС). Вся информация приходит от сервера при соединении.

[Андрей Апанасик]

А каким образом клиент будет дешифровывать сообщения от сервера без открытого ключа? Или при настройке соединения сервер сам его даст?

Answer 3

[Andrew119]

Сервер сам его предоставит. Вопрос лишь в том, будет ли клиент доверять этому ключу. Об этом выше и написано. Если серт коммерческий — с доверием, как правило, проблем не будет. Если же он самоподписанный — откуда клиенту знать, что этому сертификату можно верить? — в таком случае требуется ему (клиенту) явно на это указать.