Мы должны добавить сертификат для https://www.googleapis.com/youtube/v3/videos в наши надежные сертификаты на наших серверах для соблюдения правил безопасности.Обновление сертификата безопасности youtube-v3-api
Мы заметили, что срок действия сертификата истекает 24 ноября 2016 года. Может кто-то помочь с списком рассылки команды поддержки, с которым мы можем связаться, чтобы получить новый сертификат заранее, чтобы не было отказа от работы.
Благодаря
Я думаю, что вам не хватает основной концепции TLS: роль сертификата эмитента.
Обычно вы не запираетесь на какой-либо конкретный сертификат для сайта и надеетесь, что кто-то предоставит вам новый сертификат, если старый сертификат истечет, и что вы можете изменить всех своих клиентов, чтобы принять этот новый сертификат , Это просто не будет масштабироваться.
Вместо этого вы доверяете эмитенту (CA - сертификационному агентству) выдачу сертификата для определенного сайта. Затем вы проверяете наличие у вас любого сертификата, что цепочка доверия к вашему доверенному сертификату в порядке и что предмет сертификата совпадает с сайтом, к которому вы обращаетесь. Тот же сертификат CA (или, по крайней мере, открытый ключ внутри) будет использоваться в течение многих лет для выдачи новых сертификатов, в отличие от листовых сертификатов, которые действительны только для 1..3 лет или даже нескольких месяцев только для снижения риска компрометации ,
Подводя итог: Не ожидайте, что кто-нибудь скажет вам, когда они выдадут новый сертификат, потому что никто не скажет вам. Вместо этого сделайте это, как и все остальные, и доверьтесь CA.
TL; DR: вы не можете. Подтвердите сертификат, используя список CA.
Google уже использует закрепляющий механизм в хроме:
Но www.googleapi.com не возлагала в этом списке (только translate.googleapis.com), это означает, что Google не обеспечить что-либо о его ключах/цепочке сертификатов/сертификатов. Таким образом, вы не можете прикрепить его, не рискуя сломать что-то, даже до обновления: они могут изменить сертификат и/или цепочку без уведомления.
Фактически рекомендуется сделать это при сканировании безопасности. Следующие ссылки предоставляют подробную информацию https://vulncat.fortify.com/en/vulncat/java/insecure_ssl_overly_broad_certificate_trust.html https://www.owasp.org/index.php/Certificate_and_Public_Key_Pinning – megbhandari
@megbhandari: поскольку Google просто не будет уведомлять всех о том, когда они выдают новый сертификат, который вы не можете привязать к этому сертификату. Вы можете привязываться к открытому ключу и надеяться, что они сохранят ключ при обновлении, или вы можете привязать к определенному эмитенту, например, к Google Internet Authority G2. –