[发明专利]证书更新方法、装置、终端设备和服务器

说明书

本申请实施例适用于信息技术领域，提供了一种证书更新方法、装置、终端设备和服务器，所述方法包括：当终端设备接收到服务器推送的针对目标应用程序的证书更新信息时，获取与所述证书更新信息相对应的证书更新文件；采用所述证书更新文件对所述目标应用程序的证书文件进行更新。由于本实施例的证书更新过程由服务器端触发，在服务器检测到存在新的证书文件后，可以及时地指令终端设备对证书文件进行更新，整个过程不依赖于应用程序的版本升级，在服务器端的证书文件更新后，即使不升级应用程序的版本，也不会影响用户对该应用程序的正常使用，降低了证书更新的难度，提高了更新效率。

技术领域

本申请属于信息技术领域，尤其涉及一种证书更新方法、装置、终端设备和服务器。

背景技术

证书锁定是在开放式Web应用程序安全项目(Open Web Application SecurityProject，OWASP)的移动安全测试指南中提出的。该指南指出：应当通过证书锁定，防止中间人攻击窃取在客户端与服务器之间传输的敏感数据。

目前，业内有多种方法实施证书锁定。例如，有的厂商直接把服务器证书编码在应用程序代码中，有的厂商则把服务器证书的哈希值编码在代码中。但是，按照行业规范，商业认证中心(Certificate Authority，CA)签发的服务器证书有效期一般不能超过3年。无论采用上面哪种实现方式，在服务器证书到期后，应用程序必须通过升级新版本更新服务器证书才能与服务器正常通信。

由于应用程序的新版本从发布到用户完成升级的周期较长，按照上述方式更新服务器证书将会严重影响用户对应用程序的正常使用，对于不希望升级应用程序的用户也会造成业务不可用。

发明内容

本申请实施例提供了一种证书更新方法、装置、终端设备和服务器，能够在不升级应用程序版本的情况下，实现对证书的更新。

第一方面，本申请实施例提供了一种证书更新方法，应用于终端设备，所述方法包括：

当接收到服务器推送的针对目标应用程序的证书更新信息时，获取与所述证书更新信息相对应的证书更新文件；

采用所述证书更新文件对所述目标应用程序的证书文件进行更新。

示例性的，证书更新信息中可以携带有文件地址信息，终端设备可以从证书更新信息中提取出文件地址信息，然后从对应的地址下载证书更新文件。

应理解，文件地址信息也可以为内容分发网络地址信息，在下载并发量非常大的情况下，引入内容分发网络，可以提高证书更新文件的下载速度。

示例性的，终端设备中可以运行证书提供组件，若终端设备中安装有多个使用相同证书文件的应用程序，在下载一次证书更新文件后，可以通过证书提供组件将下载的证书更新文件提供给其他应用程序，只需一次下载即可更新多个应用程序使用的证书文件，减少终端设备与服务之前的交互次数。

示例性的，为了保证证书文件在更新过程中的安全性，服务器可以对证书更新文件进行签名，终端设备在接收到证书更新文件后，可以在校验文件签名正确后，才对证书文件进行更新，保证了应用程序的安全性。

应理解，通过服务器推送证书更新信息可能存在推送消息丢失的问题，因此，终端设备也可以定期主动向服务器发送查询指令，主动查询服务器内存储的证书文件是否更新，保证证书更新的及时性。

第二方面，本申请实施例提供了一种证书更新方法，应用于服务器，所述方法包括：

当检测到针对目标应用程序的证书更新文件时，生成与所述证书更新文件相对应的证书更新信息；

将所述证书更新信息推送至终端设备；