我想建立一个安全连接,以便从PhoneGap应用程序中的数据(需要登录)中获取数据。有没有办法在不购买 SSL 证书的情况下做到这一点?
我是否可以使用自签名证书并将证书(或其指纹)添加到PhoneGap应用程序,以便它始终可以检查证书是否正确并且没有人在中间进行攻击?
有没有办法在不购买 SSL 证书的情况下做到这一点?
是的。
阿基里洛夫给了你一个答案。
您的另一种选择是使用Startcom。他们提供免费的 1 类证书。他们的证书颁发机构安装在大多数桌面和移动平台上。
使用CA Zoo的坏处是只有一个CA认证的证书(无论是Startcom,Verisidn等)。但是,动物园中的任何 CA 都可以声称是证书颁发机构。因此,欺骗 CA 或破坏 CA 的坏人将能够为您的服务器获得证书。我们过去已经看到两者都发生过。
您可以使用证书固定来避免 CA Zoo。请参阅 OWASP 的证书和公钥固定。
我是否可以使用自签名证书并将证书(或其指纹)添加到PhoneGap应用程序,以便它始终可以检查证书是否正确并且没有人在中间进行攻击?
是的,那也很好。您的电话差距应用程序需要执行证书验证,并接受您的自签名证书。
要在.Net,Java,iOS等中执行类似的操作,您需要固定服务器的证书,因为您事先知道它是什么。不过,我不知道如何在PhoneGap中做到这一点。
有关在 .Net、Java、iOS 等中进行固定的信息,请参阅 OWASP 的证书和公钥固定。有可用于主要平台的示例代码,包括OpenSSL。