在Android/IOSAPP和客戶(hù)端開(kāi)發(fā)的過(guò)程中會(huì)有一小部分開(kāi)發(fā)者參考互聯(lián)網(wǎng)中的開(kāi)發(fā)文檔將證書(shū)文件等信息預(yù)埋到程序中。其中不乏“預(yù)埋證書(shū)公鑰”“預(yù)埋中級(jí)證書(shū)”“預(yù)埋根證書(shū)”等錯(cuò)誤的證書(shū)應(yīng)用方式。當(dāng)服務(wù)器端更新證書(shū)時(shí)，可能會(huì)導(dǎo)致客戶(hù)端無(wú)法連接后臺(tái)服務(wù)器，業(yè)務(wù)中斷。

在此，天威誠(chéng)信技術(shù)支持團(tuán)隊(duì)提醒您，如果您發(fā)現(xiàn)您的Android/IOSAPP和客戶(hù)端業(yè)務(wù)存在證書(shū)預(yù)埋的處理，請(qǐng)及時(shí)移除預(yù)埋的操作，并安排好Android/IOSAPP和客戶(hù)端更新計(jì)劃，以免對(duì)您的業(yè)務(wù)造成影響。

如您不太確定您目前的Android/IOSAPP和客戶(hù)端項(xiàng)目中是否有使用預(yù)埋證書(shū)相關(guān)的安全解決方案，請(qǐng)盡快通知您的研發(fā)人員并和我們技術(shù)人員聯(lián)系。以免在證書(shū)頒發(fā)機(jī)構(gòu)在做CA體系更新，您原有證書(shū)在到期后做續(xù)費(fèi)更新時(shí)，CA證書(shū)鏈發(fā)生改變，進(jìn) 而影響您的業(yè)務(wù)正常運(yùn)行，甚至 Android/IOSAPP和客戶(hù)端無(wú)法連接后臺(tái)服務(wù)器的重大影響。

證書(shū)預(yù)埋檢查影響

1. 服務(wù)器證書(shū)（公鑰）存在有效期限制，目前最高3年有效期，未來(lái)CA/B組織會(huì)逐漸縮短證書(shū)最長(zhǎng)生命周期。如果將服務(wù)器證書(shū)進(jìn)行Android/IOSAPP和客戶(hù)端預(yù)埋證書(shū)檢查，當(dāng)服務(wù)器證書(shū)因?yàn)樯芷诮K止導(dǎo)致證書(shū)更新時(shí)，經(jīng)過(guò)預(yù)埋的Android/IOS APP和客戶(hù)端會(huì)出現(xiàn)無(wú)法正常通信等情況。

2. 根證書(shū)和中級(jí)證書(shū)也會(huì)存在失效、策略變更或者過(guò)期，如果將根證書(shū)或者中級(jí)證書(shū)進(jìn)行Android/IOSAPP和客戶(hù)端預(yù)埋，一旦根證書(shū)和中級(jí)證書(shū)發(fā)生了更新，經(jīng)過(guò)預(yù)埋的Android/IOSAPP和客戶(hù)端會(huì)出現(xiàn)無(wú)法正常通信等情況。

雖然在大多數(shù)情況下，檢查機(jī)制能夠防御中間人攻擊。因?yàn)楫?dāng)黑客竊聽(tīng)通信時(shí)，他提供的攔截證書(shū)多為自簽名證書(shū)， TrustManager不能識(shí)別這個(gè)證書(shū)，于是拒絕 HTTPS 連接。但是，一旦預(yù)埋的這張證書(shū)由于證書(shū)生命周期的終止，觸發(fā) 服務(wù)器端進(jìn)行證書(shū)更新替換機(jī)制時(shí)，APP/客戶(hù)端應(yīng)用端將無(wú)法驗(yàn)證請(qǐng)求證書(shū)的有效性，從而導(dǎo)致業(yè)務(wù)中斷。

如果您有任何相關(guān)疑問(wèn)，可以通過(guò)以下方式聯(lián)系我們技術(shù)團(tuán)隊(duì)——郵箱：support@itrus.com.cn  技術(shù)熱線(xiàn)：4006-365-010

相關(guān)知識(shí)

TLS/SSL證書(shū)鏈

保證通信安全至少要使用 HTTPS 協(xié)議，也就是說(shuō)使用安全傳輸層協(xié)議（TLS）或是它的前身安全套接層協(xié)議（SSL）加 密的通信。

SSL證書(shū)鏈結(jié)構(gòu)關(guān)系

公網(wǎng)可信SSL 證書(shū)（至少）包括三個(gè)證書(shū)：

根證書(shū)：這是由證書(shū)認(rèn)證機(jī)構(gòu)（CA）頒發(fā)的，也就是一個(gè)可以確保整個(gè)通信時(shí)安全的值得信任的組織。

中級(jí)證書(shū)：一個(gè)根證書(shū)下有多個(gè)中級(jí)證書(shū)。它們建立服務(wù)器證書(shū)和根證書(shū)的信任橋梁，是連接服務(wù)器證書(shū)和根證書(shū)的證 書(shū)鏈，由根證書(shū)簽名的證書(shū)。

服務(wù)器證書(shū)：服務(wù)器證書(shū)是綁定最終請(qǐng)求域名的證書(shū)，為最終的加解密證書(shū)文件。