能否低价申请到 10 年有效期的证书?

183 天前
 vfx666
自己写的程序需要做证书固定( SSL pin )防止中间人攻击,但是一般证书有效期就一年,过期后,客户端还要再更新就很麻烦……
2888 次点击
所在节点    SSL
23 条回复
bearice
183 天前
你都 pin 证书了,那就自签一个呗,想签多久签多久。
Xinu
183 天前
这肯定推荐自签证书,我都是签 20 年
tool2dx
183 天前
标准 SSL pin 不太好用,安卓上有工具可以 remove the Certificate Pinning ,会修改一些 okhttp3 函数调用。

最好自己维护一个证书白名单列表。
vfx666
183 天前
@Xinu 但是这样的话客户端需要手动导入自签证书吧?
NewYear
183 天前
SSL 最长就是 13 个月,,,长了浏览器也不信任。你买多年的它也只会给你发一年的。
retanoj
183 天前
参考一下这个
https://shunix.com/ssl-pinning/

其中 PIN 证书 和 PIN 公钥的部分
yinmin
183 天前
用证书的 pubkey 做 pin 字段,之后用原来的 csr 申请新证书,pubkey 不会变化的。

你也可以事先多做几个 csr ,然后自签名取到 pubkey ,然后都 ssl pin 到软件里,将来万一密钥 key 文件泄漏,换一个 csr 申请。
Xinu
183 天前
@vfx666 你的是 web 服务? 如果是 web 服务你只能买受信任的证书,而且最多 300 多天
mxT52CRuqR6o5
183 天前
做 ssl pin 无论如何都得存点什么才能叫 ssl pin 吧,你用系统根证书列表验证书不叫 ssl pin
vfx666
183 天前
@Xinu 我是 c++写的客户端,用 winhttp ,自签证书能搞吗?是不是要在程序里忽略证书安全性
vfx666
183 天前
@yinmin 请问在哪里可以这样申请证书?腾讯阿里貌似都不行
Xinu
183 天前
@vfx666 能的,可以做自签证书,你的服务端用自签证书开启 tls 传输,客户端通信的时候也要携带自签证书相关的内容。双向验证证书
Xinu
183 天前
@vfx666
https://www.yuque.com/xinu/notes/nigl89

自签证书用 openssl 工具,自己就能申请,也有在线申请的网站
vfx666
183 天前
@Xinu 客户端代码里不需要忽略证书安全性吗?自签证书不是会拒绝连接吗
yinmin
183 天前
@vfx666 #11 openssl 生成 key 和 csr 文件,在服务商申请证书时选择提交 csr 方式
ho121
183 天前
@vfx666 客户端默认拒绝非信任的证书是为了防止有人使用使用野生证书做中间人攻击。而你都做 pin
ho121
183 天前
@vfx666 客户端默认拒绝非信任的证书是为了防止有人使用野生证书做中间人攻击。而你都做 ssl pin 了,就不存在野生证书的问题了,直接接受自己的证书就行了
vfx666
183 天前
@ho121 但是这样的话还是得在客户端代码里设置忽略证书错误,不然 winhttp 默认是拒绝连接的吧
liuw666
183 天前
客户端代码里可以设置信任自签证书的
liuw666
183 天前
不需要忽略证书错误,只信任你自己的那个就行

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1053051

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX