ข้อกำหนดเบื้องต้นสำหรับผู้ใช้
- อุปกรณ์ที่ใช้ Android โดยมีคุณสมบัติดังนี้
- Android SDK 28 ขึ้นไป
- บัญชี Google ที่ใช้งานอยู่
- เปิดใช้การล็อกอุปกรณ์แล้ว
- ไม่มี DC อยู่
- เอกสารระบุตัวตนจริง
ความปลอดภัยของการเชื่อมต่อ
การเชื่อมต่อระหว่างเซิร์ฟเวอร์ของ Google กับผู้ออกใบรับรองต้องเป็นไปตามข้อกำหนดต่อไปนี้
- ทั้ง Google และผู้ออกใบรับรองต้องแสดงคีย์ระหว่างแฮนด์เชค TLS
- เซิร์ฟเวอร์ต้องไม่เสนอ
NULLหรือการเข้ารหัสแบบไม่ระบุตัวตนระหว่างแฮนด์เชค TLS - การเชื่อมต่อต้องรองรับการเข้ารหัสอย่างใดอย่างหนึ่งต่อไปนี้
ECDHE-ECDSA-WITH-AES-128-GCM-SHA256ECDHE-ECDSA-WITH-AES-256-GCM-SHA384ECDHE-ECDSA-WITH-CHACHA20-POLY1305-SHA256ECDHE-RSA-WITH-AES-128-GCM-SHA256ECDHE-RSA-WITH-AES-256-GCM-SHA384ECDHE-RSA-WITH-CHACHA20-POLY1305-SHA256
- ผู้ออกบัตรทุกรายต้องใช้ mTLS เมื่อสื่อสารกับเซิร์ฟเวอร์ของ Google
การสื่อสารจาก Google ถึงผู้ออกบัตร
เมื่อ Google สื่อสารกับเซิร์ฟเวอร์ของผู้ออกบัตร Google จะแสดงใบรับรองไคลเอ็นต์ ผู้ออกใบรับรองมีหน้าที่ตรึงและตรวจสอบใบรับรองนี้ จากนั้น Google จะตรวจสอบใบรับรองเซิร์ฟเวอร์ที่ปักหมุดกับสิ่งที่ผู้ออกใบรับรองแสดง
การสื่อสารจากผู้ออกบัตรไปยัง Google
เมื่อผู้ออกสื่อสารกับเซิร์ฟเวอร์ของ Google โดยใช้ Google Wallet Identity API ผู้ออกจะต้อง แสดงใบรับรองไคลเอ็นต์ Google จะตรวจสอบความถูกต้องของข้อมูลนี้กับใบรับรองที่ปักหมุด ไว้