certificati autofirmati SSL in fase di sviluppo rispetto al cert acquisito in produzione?

Naviga le tue risposte
3

Sono uno sviluppatore, ho creato certificati autofirmati prima per il mio lavoro.

Questa volta, sono coinvolto fino a quando non vado in diretta con l'intera app (di solito c'era qualcun altro a capo di questo).

Domande:

  • È consentito utilizzare certificati autofirmati per lo sviluppo e quindi utilizzare quello acquisito solo per la produzione?
  • L'uso di certificati autofirmati implica che durante lo sviluppo i client debbano aggiungere la mia CA al loro elenco?
  • Quando andiamo a vivere, utilizzando il certificato effettivamente acquisito, ci saranno cambiamenti nei client?

Sto bene con i soli collegamenti alla documentazione, ho fatto qualche ricerca ma non sono riuscito a trovare risposte specifiche per l'intero flusso di lavoro.

    
posta fablife 26.01.2016 - 22:29
fonte

1 risposta

5

Is it ok to use self-signed certificates for development, and then use the acquired one for production only?

Sì, è così che quasi tutti lo fanno. Non devi pagare un'autorità di certificazione per certificare che stai parlando con il tuo server. Firma autonomamente fino alla produzione, acquista un certificato reale più tardi.

Does using self-signed certificates imply that in development, the clients need to add my CA to their list?

Sì, è corretto. O quello o il temuto "Il server a cui ti stai connettendo può provare a pugnalarti" verrà visualizzato sui loro browser.

When we go live, using the actual acquired certificate, will there be any change in clients?

Nulla cambierà. A meno che tu non abbia impiegato Chiave Pinning con una lunga durata massima, metti un certificato valido sul tuo server e ti dimentichi di esso fino al momento di rinnovarlo. I tuoi clienti non vedranno mai alcuna differenza.

Tuttavia, se si utilizza Key Pinning, è necessario utilizzare almeno due certificati. Se imposti il certificato sbagliato, scade, viene compromesso o perso, i tuoi clienti non saranno in grado di connettersi fino alla scadenza del blocco. Avere un pin di backup (il secondo, certificato valido) ti garantirà la possibilità di appuntare un altro certificato e correggere eventuali problemi.

    
risposta data 26.01.2016 - 23:10
fonte

Leggi altre domande sui tag

Quali sono i demeriti di un sale derivato per l'archiviazione delle password? È possibile modificare il codice client jQuery per chiamare un'API remota in modo non voluto?