自签名证书安全性问题研究https(ssl)
先看下https(ssl)的好处,以及为什么要用:
http://imweb.io/topic/565c71673ad940357eb99879
https://zh.wikipedia.org/wiki/HTTP%E4%B8%A5%E6%A0%BC%E4%BC%A0%E8%BE%93%E5%AE%89%E5%85%A8
然后看以下收集的为什么自签名证书不安全的解释:
http://mt.sohu.com/20150602/n414267586.shtml
http://www.wosig*.com/FAQ/selfsigned_SSL_insecure.htm(访问时把*改成n)
个人总结和疑惑:
1、其实个人觉得,如果简单的靠谱,就比如账号密码的传输,走ssl,不管自签名还是权威机构,在一定程度上有一定的帮助,比如走的是密文。
2、至于不安全的自签名,比如运营上也搞了一张一样的证书,然后中间插一个环节,最终信息还是给运营上过滤,但是如果要做到这样,一般运营商不具备这些条件,除非是专门考这个吃饭的。
3、也是疑惑点:如果是app使用,前面是事先签好,在APP上也做了检验,那么这个自签名我觉得还是可行的。不过处于这样的考虑,那为什么苹果在审核的时候会不认这一做法?可能还是劫持问题。