问Android应用程序自签名证书的问题/注意事项？

EN

1. Yes.
2. No.

证书所做的就是验证你是谁。没别的了。

编辑:实际上，它甚至不能验证这一点。它只验证了这个应用程序是由这个实体制作的，这个实体拥有这个证书的私钥。它生成身份跟踪:没有任何其他实体可以声称是相同的实体，如果没有访问相同的私钥。

此外，某些进程/文件/用户权限被绑定在使用同一证书中(例如，我有多个使用相同证书签名的应用程序，它们可以打开彼此的数据库，即使每个应用程序都是单独安装的)。

编辑:根本没有关系，因为自签名的证书问题是基于浏览器根证书存储。在浏览器中，它们试图执行显式信任(即使用此证书的实体由已知的根证书颁发机构验证，即证书标识的实体)。使用自签名证书，证书链不会以已知的根结尾，因此任何人都可以发出证书并撒谎，而对于Verisign/Thawte/Godaddy/其他证书，正在进行的论点是，根证书的所有者以某种方式验证了它传递证书的实体实际上被授权将自己标识为该实体。