#android #google-play-console #android-keystore #android-app-signing
#Android #google-play-консоль #android-хранилище ключей #android-безопасность #подписание приложений для Android
Вопрос:
Новый AAP в Google Play Store показывает, что в вашем пакете приложений для Android используется слишком слабый ключ загрузки.
Я использую существующий файл хранилища ключей, который уже используется в других наших приложениях. Этот ключ используется в течение очень долгих лет.
С помощью одного и того же ключа мы запустили более 10 приложений в магазине Google Play.
Поэтому я использовал тот же ключ и здесь, но он показывает вышеуказанную ошибку. 
Комментарии:
1. Вероятно, вам нужно обновить свой ключ и использовать более безопасный. К сожалению ,мы не можем помочь здесь, так как это связано с политикой Google Play, для этого вам необходимо обратиться в службу поддержки Google.
2. Если я обновлю ключ, повлияет ли это на уже доступные приложения в магазине Google Play?
3. Если это обновление для приложения, оно повлияет на предыдущее, так как оба приложения не будут подписаны с использованием одних и тех же ключей. Если это совершенно новое приложение, оно не должно влиять на других
4. Я использую приложения с белой маркировкой. Так как же он будет добавлен? Я не могу использовать разные ключи для разных приложений/
5. @Nitish это неверно: в большинстве случаев ключ, с помощью которого подписывается AAB, не зависит от ключа, с помощью которого подписываются APK (устанавливаемые устройства). Сообщение об ошибке предполагает, что это новое приложение в любом случае.
Ответ №1:
Ключ, используемый для подписи пакета приложений для Android, используется только для Google Play, чтобы распознать вас и убедиться, что загружаемый вами артефакт не был подделан между вашей подписью и получением его серверами Google Play.
Этот ключ (также называемый «ключом загрузки»), в частности, отличается от ключа, который будет использоваться для подписи файлов APK, которые будут предоставляться вашим пользователям. По умолчанию при создании нового приложения Google Play сгенерирует для вас ключ подписи APK, поэтому он будет отличаться от других ваших приложений (если вы явно не просили, чтобы он совпадал с другим приложением при первом выпуске AAB).
Рекомендуется использовать разные ключи для каждого из ваших приложений, чтобы в случае взлома одного из них ущерб был ограничен и восстановление было проще (можно изменить только один ключ), но Google Play не применяет его.
Комментарии:
1. Мы используем приложения с белой маркировкой (несколько приложений с одинаковым кодом) с одним и тем же хранилищем ключей. Уже все приложения используют один и тот же ключ и доступны в магазине Google Play. Можете ли вы подсказать, как нам следует поступить с новым приложением (с белой надписью) push?
2. Я бы рекомендовал другой ключ для подписи. Ключ загрузки может быть тем же самым, так как при необходимости его можно сбросить.