एंड्रॉइड एसएसएल क्लाइंट प्रमाण पत्र प्रमाणीकरण

Question

के साथ कैसे और किस सर्वर प्रमाणपत्र का उपयोग करना है मैं एक नेटवर्क-सक्षम एंड्रॉइड एप्लिकेशन विकसित कर रहा हूं जो मेरे सर्वर से कनेक्शन प्रमाणित और सुरक्षित करने के लिए SSL क्लाइंट प्रमाणपत्र का उपयोग करता है।

मेरे पास दो प्रश्न हैं: (1) क्या मुझे एक स्व-हस्ताक्षरित सर्वर प्रमाणपत्र या वाणिज्यिक एक का उपयोग करना चाहिए? और (2) क्या मुझे एपीके फ़ाइल के अंदर सर्वर प्रमाणपत्र शामिल करना चाहिए जो उपयोगकर्ताओं को स्थापित करता है या मेरे पास नेटवर्क पर सर्वर प्रमाणपत्र प्राप्त करने के लिए मेरे सर्वर से कनेक्ट होना चाहिए (डिवाइस को सर्वर प्रमाण पर भरोसा करने के उद्देश्य से)?

जब मैं पूछता हूं कि मुझे "क्या करना चाहिए", तो मैं पूछ रहा हूं कि प्रत्येक विकल्प के लाभ और नुकसान क्या हैं?

अभी मैं एपीके फ़ाइल के साथ एक स्व-हस्ताक्षरित प्रमाणपत्र का उपयोग कर रहा हूं। जब उपयोगकर्ता पहली बार ऐप चलाता है, तो यह ट्रस्ट स्टोर में शामिल स्वयं-हस्ताक्षरित प्रमाणपत्र पढ़ता है ताकि डिवाइस बिना किसी शिकायत के मेरे सर्वर से कनेक्ट हो सके। मुझे लगता है कि अगर मैं एक वाणिज्यिक प्रमाण का उपयोग करता हूं तो मेरा प्रश्न # 2 म्यूट हो सकता है, क्योंकि डिवाइस किसी भी समस्या के बिना सर्वर से प्रमाण पर भरोसा कर सकता है।

एक और संभावित रूप से प्रासंगिक विवरण: यह एप्लिकेशन एंड्रॉइड बाजार के माध्यम से वितरित नहीं किया जा रहा है। उपयोगकर्ता मेरे सर्वर से एप्लिकेशन डाउनलोड करेंगे, इसलिए मैं जो भी सर्वर सर्टिफिकेट चाहता हूं उसे शामिल कर सकता हूं, जिसमें प्रत्येक उपयोगकर्ता के लिए एक अलग-अलग शामिल है।

मेरे पास मेरे दो प्रश्नों के प्रत्येक संभावित उत्तर के लिए विभिन्न फायदों और दोषों के बारे में अपने विचार हैं, लेकिन मुझे दूसरों में क्या दिलचस्पी है - उम्मीद है कि सुरक्षा दिमागी - इस मामले पर कहना है।

अग्रिम धन्यवाद!

Answer 1

मुझे कोई संकेत नहीं दिखता कि आत्म-हस्ताक्षर नहीं है। हालांकि, मैंने इसे एक पायदान ऊपर उठाया होगा, और अपना खुद का प्रमाणपत्र प्राधिकरण बनाया होगा। यह आपको यह सुनिश्चित करने की अनुमति देता है कि आप केवल उन सर्वर से कनेक्ट होंगे जिनके पास आपके कस्टम सीए द्वारा हस्ताक्षरित प्रमाणपत्र हैं, जो कि सर्वर पर प्रमाण पत्र की एक साधारण फिंगरप्रिंट चेक की तुलना में बहुत बेहतर (यानी वास्तविक क्रिप्टो सुरक्षा) है।

रूबी के ओपनएसएसएल बाइंडिंग का उपयोग करके एक कस्टम सीए बनाने का उदाहरण यहां दिया गया है। प्रक्रिया ज्यादातर भाषाओं में समान है। https://github.com/augustl/ruby-openssl-cheat-sheet/blob/master/certificate_authority.rb

आप निश्चित रूप से एक क्लाइंट प्रमाणपत्र का भी उपयोग कर सकते हैं जिसे आपके सर्वर के अनुरोध को स्वीकार करने के लिए आपके कस्टम सीए द्वारा हस्ताक्षरित किया जाना है। ध्यान दें कि यह केवल अस्पष्टता होगी - एक हमलावर आपके ऐप से निजी कुंजी और कस्टम सीए हस्ताक्षरित प्रमाण निकालने में सक्षम होगा। यदि आपका ऐप सर्वर से अनुरोध कर सकता है, तो कोई भी :)