私が Android アプリ開発の学習に使用している本には、次のように書かれています。
Android アプリケーションをデバイスにインストールするには、まず証明書のデジタル署名を使用して Android パッケージ (.pak ファイル) に署名する必要があります。ただし、証明書は自己署名することができます。VeriSignなどの認証局から証明書を購入する必要はありません。
OK、アプリをデバイスにインストールするには、どのデジタル署名でもよいことを理解しています (Eclipse 用の ADT プラグインは、既にこれを自動的に行っています)。しかし、それは私には不明です:
Android マーケットにアプリをリリースするプロセスを開始するのはこれが初めてであり、経験豊富な回答をいただければ幸いです。
ありがとう。
証明書が行うことは、あなたが誰であるかを検証することだけです。他には何もありません。
編集:実際には、それも検証しません。検証するのは、このアプリがこの証明書の秘密鍵を持つエンティティによって作成されたことだけです。ID 証跡が生成されます。他のエンティティは、同じ秘密鍵にアクセスせずに同じエンティティであると主張することはできません。
さらに、プロセス/ファイル/ユーザーのアクセス許可の一部は、同じ証明書の使用に関連付けられています (たとえば、同じ証明書で署名された複数のアプリがあり、各アプリが個別にインストールされていても、それらは互いのデータベースを開くことができます)。
編集: 自己署名証明書の問題はブラウザのルート証明書ストアに基づいているため、関係はまったくありません。ブラウザーでは、明示的な信頼を試みています(つまり、この証明書を使用しているエンティティは、証明書が識別するエンティティとして既知のルート認証局によって検証されます)。Verisign/Thawte/Godaddy/Other では、ルート証明書の所有者が何らかの方法で検証されたという議論がなされています証明書を渡したエンティティが、そのエンティティとして自分自身を識別する権限を実際に持っていること。