Utilizzo della chiave pubblica / privata senza certificato firmato

Con SSL, il client deve usare la chiave pubblica del server, e deve avere un modo per assicurarsi che stia usando la chiave del server destra , non un falso inviato da qualche utente malintenzionato percorso di rete. Ecco cosa sono i certificati. Se non ti puoi fidare delle informazioni nel certificato del server, allora ... non ti puoi fidare e perdi.

Se conosci la chiave pubblica del server in anticipo e la puoi codificare nel codice client, allora ti fidi di ciò e va bene (anche se non è molto flessibile). Un valore del certificato del server hardcoded, infatti, è molto ridotto PKI .

Are there any security issues if I use my own public/private key pair without it being a trusted certificate?

Suppongo tu intenda "firmato da un'autorità di certificazione conosciuta" quando dici di avere fiducia? Si assolutamente!

Ricorda però, non eseguire il rollover del tuo protocollo. Usa SSL / TLS. Crea la tua autorità di certificazione con uno strumento come openssl e usalo per firmare certificati SSL per client e server.

Come opposto a @Terry con cui sto andando. No, per niente o forse no.

Dipenderà dall'uso che darai a questa applicazione, se è personale allora, perché dovresti pagare qualche CA per rendere la tua coppia "affidabile"?

Contro il contrario, se hai intenzione di diventare "pubblico" con utenti "pubblici" se non usi una CA fidata, i tuoi utenti riceveranno un GRANDE avviso quando accederanno alla tua app.