我有一个应用程序正在投入生产。它有一个java客户端和一个java服务器,两者总是相同的,并且在我的团队的控制之下。我们正在使用https。
在这种情况下,可以颁发自签名证书并在客户端上接受它吗?有风险吗?
HTTTPS是为了保护服务器和客户端之间的连接,而仅仅通过控制服务器和客户端并不能完全控制这种连接。如果您仅仅因为控制服务器和客户端而接受任何自签名证书,那么您也会接受中间人的证书,即这是不安全的。
您可以做的是对客户端中预期的证书进行硬编码,即证书固定。通过这种方式,您只接受这个特定的证书,而中间人使用另一个证书进行攻击是不可能的。
javascript python java c# php android html jquery c++ css ios sql mysql arrays asp.net json python-3.x ruby-on-rails .net sql-server django objective-c excel regex ruby linux ajax iphone xml vba spring asp.net-mvc database wordpress string postgresql wpf windows xcode bash git oracle list vb.net multithreading eclipse algorithm macos powershell visual-studio image forms numpy scala function api selenium