在此，天威诚信技术支持团队提醒您，如果您发现您的Android/IOSAPP和客户端业务存在证书预埋的处理，请及时移除预埋的操作，并安排好Android/IOSAPP和客户端更新计划，以免对您的业务造成影响。

如您不太确定您目前的Android/IOSAPP和客户端项目中是否有使用预埋证书相关的安全解决方案，请尽快通知您的研发人员并和我们技术人员联系。以免在证书颁发机构在做CA体系更新，您原有证书在到期后做续费更新时，CA证书链发生改变，进 而影响您的业务正常运行，甚至 Android/IOSAPP和客户端无法连接后台服务器的重大影响。

证书预埋检查影响

1. 服务器证书（公钥）存在有效期限制，目前最高3年有效期，未来CA/B组织会逐渐缩短证书最长生命周期。如果将服务器证书进行Android/IOSAPP和客户端预埋证书检查，当服务器证书因为生命周期终止导致证书更新时，经过预埋的Android/IOS APP和客户端会出现无法正常通信等情况。

2. 根证书和中级证书也会存在失效、策略变更或者过期，如果将根证书或者中级证书进行Android/IOSAPP和客户端预埋，一旦根证书和中级证书发生了更新，经过预埋的Android/IOSAPP和客户端会出现无法正常通信等情况。

虽然在大多数情况下，检查机制能够防御中间人攻击。因为当黑客窃听通信时，他提供的拦截证书多为自签名证书， TrustManager不能识别这个证书，于是拒绝 HTTPS 连接。但是，一旦预埋的这张证书由于证书生命周期的终止，触发 服务器端进行证书更新替换机制时，APP/客户端应用端将无法验证请求证书的有效性，从而导致业务中断。

如果您有任何相关疑问，可以通过以下方式联系我们技术团队——邮箱：support@itrus.com.cn  技术热线：4006-365-010

相关知识

TLS/SSL证书链

保证通信安全至少要使用 HTTPS 协议，也就是说使用安全传输层协议（TLS）或是它的前身安全套接层协议（SSL）加 密的通信。

SSL证书链结构关系

公网可信SSL 证书（至少）包括三个证书：

根证书：这是由证书认证机构（CA）颁发的，也就是一个可以确保整个通信时安全的值得信任的组织。

中级证书：一个根证书下有多个中级证书。它们建立服务器证书和根证书的信任桥梁，是连接服务器证书和根证书的证 书链，由根证书签名的证书。

服务器证书：服务器证书是绑定最终请求域名的证书，为最终的加解密证书文件。