httpsでウェブサーバーと通信するモバイルアプリがあります。私の質問は、このAPIへのすべてのトラフィックがヘッドレスなので、証明書をインストールすることについても心配する必要はありますか?APIのアクセスのためのSSLと証明書の質問
私の理解では、SSLは要求に対して暗号化を提供し、証明書はエンドユーザーに対して信頼を確立します。私のウェブサーバへのこれらの呼び出しは本質的にヘッドレスなので、私は信頼確立について心配する必要はないと考えています。
私はこの考え方で正しいですか?
次のいずれかのサーバー上HTTPSを使用するためにself-signed certificateまたはCA-signed certificateが必要になります。
証明書が認証局によって割り当てられていない場合は、接続はtrigger an error in your URLRequest that you will have to handleになります。信頼できない証明書の問題は、a malicious man-in-the-middleが自己署名入りの証明書でサーバーとの間でデータを偽装し、アクセス権を持たない認証資格情報やデータを取得する可能性があることです。
認証資格情報やその他のプライベートデータを扱う場合は、署名された証明書を要求することをお勧めします。あなたが買い物をしている場合は、年間10〜20ドルの安い署名付き証明書を見つけることができます。これは、ユーザーを保護するための簡単なコストです。
しかし、個人的なプロジェクト(唯一のデータはあなたのです)、または送信するデータは自由に入手できますが、自己署名証明書で十分です。