最近の同僚とのディスカッションでは、Verising、Comodoなどの既知のCAからのCA署名付きTLS証明書のデフォルトのAndroidのシステム検証を行うという意味を分析しました。 OSが侵害されている可能性があり(マルウェアやハッキングに根ざしている可能性があります)、CA証明書ライブラリ全体が変更され、実際のCAによって署名されていない証明書が検証されます。AndroidのアプリケーションでHTTPSのCA署名の確認を行う
可能な提案された解決策は、アプリケーション自体に証明書検証を実装することです(アプリケーション開発者が彼が使用する証明書を知っていると考えると理論的にはもっと狭いでしょう)。アプリに検証をさせますこれにより、システムのCA証明書に依存することなく、実際の検証が可能になります。
私はまだこれを不正に実装することに心配していますが、アプリに検証をさせるのはどのくらい賢いですか?
ええ、私もこれに向かって結論を終えました。私が検討したもう一つの選択肢は、Androids SSLSocketFactoryを使用し、そこに既知のCAルート証明書を追加することです(証明書をアプリケーションのバイナリに埋め込む)。 – Larcho