Иногда, для более полной отладки требуется чтобы не просто самоподписанный сертификат использовался веб-сервисом — а более сложный сертификат с Intermediate'ом и Root'ом, т.к., к примеру, от наличия Intermediate цепочти сертификатов на самом веб-сервере зависит то — сможет ли клиент веб-сервиса построить цепочку доверия до конечного сертификат веб-сервера имея в своем доверенном хранилище сертификатов только Root.
Также, в контексте проверки как сертификата так и протокола SSL/TLS на конечном endpoint'e на уязвимости можно, к примеру, использовать testssl.sh скрипт.
Я бы не согласился, сам Symbian был не плох, но вот гуевые надстройки под него от Nokia — S60 и подобные, это был АД. Были также и достаточно неплохие GUI надстройки по типу UIQ под которые было приятно разрабатывать, но после того как Symbian был куплен Nokia, они не выжили…
Я бы даже добавил, что единственная теоретически возможная проблема в использовании сторонних CA, в данном случае, это то, что могут выпустить второй «похожий» сертификат для организации MITM атаки. А так, да, бред конечно написали по поводу того что соединение станет нешифрованным.
Также, как по мне, переход на российский CA обусловлен скорее всего тем, что хотят глобально терминировать трафик для анализа — в данном случае использование российского CA как раз и позволит это делать, по типу MITM.
Спасти от этого может использование 2-way SSL аутентификации — но, минус тут в том что необходим клиентский сертификат и его поддержка на сервере (web-сайт например) с которым идет взаимодейтвие.
Немного прилизал, надеюсь что ничего не отломал =)
Проверить какие сертификаты публикует веб сервис можно тем-же openssl'ем — «openssl s_client -showcerts -connect :».
Для себя, как и вы, я написал скрипты с использованием openssl для генерации сертификатов с разной длиной цепочки доверия =)
Переход с SHA1 на SHA2
Рекомендации по длине ключа
Также, в контексте проверки как сертификата так и протокола SSL/TLS на конечном endpoint'e на уязвимости можно, к примеру, использовать testssl.sh скрипт.
testssl.sh
Также, как по мне, переход на российский CA обусловлен скорее всего тем, что хотят глобально терминировать трафик для анализа — в данном случае использование российского CA как раз и позволит это делать, по типу MITM.
Спасти от этого может использование 2-way SSL аутентификации — но, минус тут в том что необходим клиентский сертификат и его поддержка на сервере (web-сайт например) с которым идет взаимодейтвие.