Android文档说发布带有调试证书的应用程序是不安全的,但我不知道为什么。什么是";设计不安全";意思是,调试证书是如何设计的?
因为调试证书是由生成工具创建的设计不安全,大多数应用商店(包括谷歌Play商店(不接受使用调试证书签名的应用进行发布。
此页面表明问题在于调试证书没有信任锚,因此可以很容易地替换证书。这是他们提供的样品:
$ jarsigner -verify -verbose -certs example.apk
sm 11116 Fri Nov 11 12:07:48 ICT 2016 AndroidManifest.xml
X.509, CN=Android Debug, O=Android, C=US
[certificate is valid from 3/24/16 9:18 AM to 8/10/43 9:18 AM]
[CertPath not validated: Path doesn't chain with any of the trust anchors]
(...)