Discussion :

[c4lypso]

Bonjour,

J'ai mis en place une connexion ssl entre mon application android et mon server, avec un programme java qui tourne dessus et écoute un certain port.
Depuis le serveur, keytool a été utilisé pour générer un certificat, et extraire ce certificat. J'ai ensuite ajouté ce certificat dans l'application android puis ajouter ce certificat en tant que confiance en suivant ce code: https://developer.android.com/traini...html#UnknownCa

Je voulais maintenant savoir, si cette façon de procédé est correcte? J'ai effectivement du mal à voir comment mon client android peut vraiment authentifier le serveur juste via ce certificat. N'y-t-il pas quelque chose d'autre à faire?
Quels sont les risques qui pourrait arriver avec une telle solution?

Merci

[Nico02]

Je ne suis pas un spécialiste Android, mais sur la question de la sécurité ce que tu fais est correct mais insuffisant.

Normalement tu dois faire signer le certificat de ton serveur par une autorité de certification (www.thawte.fr, www.verisign.fr pour ne citer qu'eux) avant de le réinjecter dans le keystore.

C'est à cette condition uniquement que "l'identité" de ton serveur pourra être confirmé par un tiers lors d'une connexion SSL.

Seulement ce service est payant bien évidemment, c'est pour ça que l'on peut aussi utiliser (ce qui est ton cas) un certificat "auto-signé" ou signé par une CA non officielle.

Ce qui veux dire que les échanges sont bien cryptés, mais que ton certificat n'est pas vraiment reconnue par un organisme public. Dans les deux cas c'est pour ça que dans la procédure on va manipuler directement le KeyStore et le TrustManager pour faire en sorte que ton téléphone reconnaisse ton certificat.

En gros dans le meilleur des cas, tu payes pour signer ton certificat, et j'imagine alors que ton téléphone sera capable de l'accepter automatiquement (à confirmer quand même). Sinon ta procédure reste valable dans un cadre restreint.

Cdt.

[c4lypso]

Merci beaucoup pour ces informations!!