我有一个移动应用程序,它访问https://myserver.com/mywebservice处的Web服务。在我的应用程序中使用自签名证书
如果我创建一个自签名证书并将其放在我的服务器上,当移动应用程序访问Web服务时,它会看到证书,但它不会识别它,因为它是自签名的。但在这种情况下,如果我有一个“中间人”攻击,攻击者可以创建自己的证书,这样应用程序就会看到证书,并且它再次无法识别证书。
问题:当你使用像goDaddy那样的证书时,iOS或Android编程为信任goDaddy证书才能工作,那么攻击者使用的假证书被认为是无效的?所以如果我让应用程序信任我的证书,我可以用同样的方式使用我的自签名证书?
另请问我如何知道iOS或Android信任哪些证书?
我同意,但我想补充一点:通常(但不是总是)人们在开发阶段使用自签名证书,在这个阶段你的服务器运行在持有你的模拟器的同一台机器上,在这种情况下,您需要更改模拟器中的主机文件以将10.0.2.2指向您的证书域 –