Certificado SSL para los servicios web REST (utilizados por Android)?

Tengo un sitio web con una serie de servicios web RESTful que son utilizados por una aplicación de Android. Quiero dejar que todas las solicitudes pasen por HTTPS . Por lo tanto, necesito un certificado SSL para mi sitio web.

P: ¿Necesito comprar un certificado SSL o puedo usar un certificado autofirmado en este caso? (No quiero gastar dinero en algo que no necesito).

Puedo pensar en estos enfoques:

  1. Compre un certificado SSL con Extended Validation (barra de direcciones verde). Probablemente no es necesario.
  2. Compre un certificado SSL sin Extended Validation. Esto debería ser suficiente, ¿no?
  3. Auto-firma de un certificado SSL. ¿No está seguro de lo que esto implica?

Si su mayor preocupación no es gastar dinero http://www.startssl.com/ proporciona certificados SSL básicos gratis durante un año, por lo que puede valer la pena investigar. No sé de improviso cuáles CA son de confianza por defecto en Android por lo que puede resultar ser efectivamente el mismo que un certificado autofirmado desde la perspectiva de la aplicación.

El uso de un certificado autofirmado requeriría encontrar una forma de asegurarse de que la aplicación de Android esperaba ese certificado autofirmado y confiaba no sólo en su certificado inicial, sino también en los certificados de sustitución en el futuro. Sospecho que esto es más problema de lo que vale, aunque no sé mucho sobre el desarrollo de Android o la aplicación en cuestión, así que puede estar sobreestimando la dificultad involucrada.

Un certificado de EV proporciona una garantía más fuerte al cliente que el servicio es realmente su servicio y poseído por usted pero incurre en costos adicionales. La elección de un certificado EV versus DV se convierte más en una llamada de juicio de riesgo / recompensa. Annecdotally, por lo general sólo ver certificados EV en los sitios financieros y otros donde normalmente se espera encontrar una barra alta de seguridad.

  • WebView con https loadUrl muestra la página en blanco
  • Java - ignorar certificado SSL expirado
  • SSL handshake Excepción en la aplicación navegar desde otros países
  • ¿Por qué android obtiene el certificado ssl incorrecto? (Dos dominios, un servidor)
  • Si utilizo SSLSocket en Android y código duro, la contraseña del truststore en el código fuente es insegura?
  • Aplicación de Android que trabaja en WIFI y 3G (Sin proxy), pero no funciona en 3G (Si proxy y puerto están asignados)
  • Error de protocolo desconocido con conexión HTTPS en android
  • Javax.net.ssl.SSLHandshakeException: Handshake falló en Android 5.0.0 cuando SSLv2 y SSlv3 están deshabilitados (sólo TLS) (y mayores)
  • Excepción terminada handshake de https de Android
  • Android impide que el hombre en el ataque medio de SSL
  • Protocolos SSL / TLS y suites de cifrado con AndroidHttpClient
  • FlipAndroid es un fan de Google para Android, Todo sobre Android Phones, Android Wear, Android Dev y Aplicaciones para Android Aplicaciones.