服务器用https,面向的是手机客户端api接口调用，这种情况下，用自签名的证书是不是就可以了？

我觉得可以。

不过最好得在你的客户端里面自己验证一下自己用的证书。

你的手机客户端要能读到你用于自签名的根证书。。那就是安全的。

可以的，以前搞过

自己用自己签名的证书。很好很安全。不过你的私钥被盗就SB了。

@est 其实还好吧，就算是找CA签名的证书，私钥丢了吊销后不知道多久才会更新吊销列表到客户端，移动平台就更别提了。如果是自己维护的客户端，更新个新版本使用新的根证书就行了。

你要验证证书，否则就是不安全的。

@jimrok
http.use_ssl = true if uri.scheme == "https" # enable SSL/TLS
http.verify_mode = OpenSSL::SSL::VERIFY_NONE

如果客户端这样请求，那整个传输是不是就不是加密的？

@Shieffan 这个证书是直接导进发布的apk里吗？

@yakczh 根证书放在你的客户端能读到的地方，我没干过android...更具体的我就不晓得了

@yakczh 这样不是不加密，而是不验证证书的有效性，黑客可以用中间人方法攻击你。

你更关心数据传输过程中的安全，还是为了要验证server端一定是你？

@fanweixiao 关心传输的安全，因为其中有很多采集的用户个人信息， 服务端的接口地址是写在apk里的，除非开发者重新发布一个修改服务器接口地址的版本 就象修改hosts文件一样，这样就可以客户端可以将数据传到假冒的服务器接口

@dorentus 是验证服务器的证书吗？还是自签的ca的证书

@9hills 客户端是Android,怎么搞？

@jimrok 自签名证书中间人破不了，根证书在服务器上呢
@yakczh java就可以用SSL，具体google吧

@9hills 主要是有些开发人员对ssl没有进行证书验证，这样中间人攻击就可以存在。这个证书验证的问提10个人9个搞不清楚。