IBM MobileFirst 证书固定最佳实践
IBM MobileFirst certificate pinning best practices
我们正在开发 IBM MobileFirst 7.1 混合移动应用程序,并计划使用证书固定功能。
我们可以在 IBM 网站上找到有关 IBM MobileFirst 网站上 SSL 证书固定的信息:Here is a post in the IBM Knowledge Center and Here is a tutorial and its sample project/code
所有这些资源都很棒,但我有一些问题:
- 当我的应用程序是混合应用程序时,对 Android 和 iOS 使用本机证书固定实施是否有任何优势?
- 如果我使用混合环境代码,SSL证书会不会包含在wlapp中,然后可以使用直接更新来更新?
- 证书固定的混合实施是否适用于 WindowsPhone 8(Silverlight 环境的混合应用程序)?
- 在教程视频中,我看到当 SSL pinning 开启时,我们在服务器外部调用 URL(例如 google)它会失败。这是否意味着如果我启用证书固定,google 地图将无法加载?
- 当 SSL 证书被吊销时会发生什么?
- SSL 证书过期后会发生什么?
- 在更新我们的服务器 SSL 证书时保持证书固定工作和应用程序正常运行的最佳 SSL 续订策略是什么?
请指教
Are there any advantages to use native certificate pinning implementation for Android and iOS when my application is a hybrid application ?
您始终可以编写自己的代码来进行固定,或使用第 3 方 Cordova 插件。但其中 none 向您保证,您可以通过使用所提供的功能获得支持级别。请注意,您随后只能使用所提供的功能(例如,MobileFirst 的证书固定仅限于单个目标主机,而不是多个)。
If I use the hybrid environment code, will the SSL certificate be included in the wlapp, and then can be updated using direct update ?
您需要在客户端和服务器中都有证书。您不需要使用直接更新来更新客户端上的证书。
它的工作方式是您只需要更新服务器上的证书,但您必须维护相同的 public 密钥以防您更新它
Does the hybrid implementation of certificate pinning work on WindowsPhone 8 (Hybrid app for Silverlight environment) ?
如文档中所述,证书固定仅支持:"native iOS, native Android, and hybrid iOS or hybrid Android"
In the tutorial video, I have seen that when SSL pinning is ON, and we call a URL outside our server (google for example) it will fail. Does this mean google maps will fail loading if I enable certificate pinning ?
固定仅与绑定到 MobileFirst Server 的请求相关,与其他服务无关。
What happen when the SSL certificate is revoked ?
绑定到 MobileFirst Server 的请求将失败。
What happen when the SSL certificate is expired ?
绑定到 MobileFirst Server 的请求将失败。
What is the best SSL renewal strategy to keep certificate pinning working and the application up while updating our server SSL certificate ?
因为您只需要在服务器上更新证书,所以您只需要确保继续使用与之前相同的 public 密钥。
我们正在开发 IBM MobileFirst 7.1 混合移动应用程序,并计划使用证书固定功能。
我们可以在 IBM 网站上找到有关 IBM MobileFirst 网站上 SSL 证书固定的信息:Here is a post in the IBM Knowledge Center and Here is a tutorial and its sample project/code
所有这些资源都很棒,但我有一些问题:
- 当我的应用程序是混合应用程序时,对 Android 和 iOS 使用本机证书固定实施是否有任何优势?
- 如果我使用混合环境代码,SSL证书会不会包含在wlapp中,然后可以使用直接更新来更新?
- 证书固定的混合实施是否适用于 WindowsPhone 8(Silverlight 环境的混合应用程序)?
- 在教程视频中,我看到当 SSL pinning 开启时,我们在服务器外部调用 URL(例如 google)它会失败。这是否意味着如果我启用证书固定,google 地图将无法加载?
- 当 SSL 证书被吊销时会发生什么?
- SSL 证书过期后会发生什么?
- 在更新我们的服务器 SSL 证书时保持证书固定工作和应用程序正常运行的最佳 SSL 续订策略是什么?
请指教
Are there any advantages to use native certificate pinning implementation for Android and iOS when my application is a hybrid application ?
您始终可以编写自己的代码来进行固定,或使用第 3 方 Cordova 插件。但其中 none 向您保证,您可以通过使用所提供的功能获得支持级别。请注意,您随后只能使用所提供的功能(例如,MobileFirst 的证书固定仅限于单个目标主机,而不是多个)。
If I use the hybrid environment code, will the SSL certificate be included in the wlapp, and then can be updated using direct update ?
您需要在客户端和服务器中都有证书。您不需要使用直接更新来更新客户端上的证书。
它的工作方式是您只需要更新服务器上的证书,但您必须维护相同的 public 密钥以防您更新它
Does the hybrid implementation of certificate pinning work on WindowsPhone 8 (Hybrid app for Silverlight environment) ?
如文档中所述,证书固定仅支持:"native iOS, native Android, and hybrid iOS or hybrid Android"
In the tutorial video, I have seen that when SSL pinning is ON, and we call a URL outside our server (google for example) it will fail. Does this mean google maps will fail loading if I enable certificate pinning ?
固定仅与绑定到 MobileFirst Server 的请求相关,与其他服务无关。
What happen when the SSL certificate is revoked ?
绑定到 MobileFirst Server 的请求将失败。
What happen when the SSL certificate is expired ?
绑定到 MobileFirst Server 的请求将失败。
What is the best SSL renewal strategy to keep certificate pinning working and the application up while updating our server SSL certificate ?
因为您只需要在服务器上更新证书,所以您只需要确保继续使用与之前相同的 public 密钥。