的危险这个问题似乎是一个新手,也许“笨”的问题,但请多多包涵......禁用证书验证的Java中
我仍然在努力寻找一种方式来获得我的Java应用程序使用位于JAR文件内的密钥库,我非常想试试使用the method here.来禁用证书验证。但是,在我这样做之前,我只想确认为什么你不应该这样做,以及这些原因实际上适用于我。
我听说没有证书验证可以使你的应用程序承担“中间人”攻击(我认为),但即使我是正确的,但我不确定这些实际是什么,所以请有人说明。尽管如果他们是我认为他们可能的,我不确定我的应用程序是否会受到他们的影响,因为我的应用程序只使用SSL连接从我的网站获取数据,所以用户不会告诉应用程序哪些URL参观 - 如果是有道理的......
谢谢Miguel和user384706,你们的回答都很有帮助,我现在可以得出结论,我需要密钥存储。如果我确实设法将密钥库放入JAR文件中,它是否需要更新?我只问,因为我知道SSL证书需要更新,但我不知道是否更新它们会影响密钥库中的信息... – Andy
@Andy:如果服务提供商的公钥更改,您必须更新它取决于您的关键提供商的政策。你应该为此做好准备......至少与供应商讨论。 – home
@家没关系,但否则我不需要,是吗? – Andy