HTTPS を介して通信する REST API クライアントを開発する場合は、中間者攻撃を防ぐために、証明書が正しいものであることを検証する必要があります。
問題は、この検証を適切に行う方法です。(つまり、証明書チェーンを検証しますか?)
Google は、SSL 証明書の変更というタイトルのブログ投稿で、次のようないくつかの検証アンチパターンについて言及しています。
- リーフ証明書を正確に一致させる (例: ハッシュすることにより)
- 他の証明書 (例: ルートまたは中間署名証明書) と正確に一致する
- 予想されるルート証明書をハードコーディングし、