SSL cert chain validation (platform fallback) not working with (domain) network security config(xml)

最新推荐文章于 2024-12-20 23:09:07 发布
最新推荐文章于 2024-12-20 23:09:07 发布
阅读量2.4k 收藏 1
点赞数
分类专栏: Android网络编程 Android开发中的坑 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/JoeySheng/article/details/109386608
版权
在Android中,配置了network_security_config.xml后,SSL校验遇到JNI异常。问题源于OpenSSL验证失败,期望系统兜底时,特定域配置导致异常。分析指出应调用支持hostName的重载方法解决。目前的临时解决办法是避免平台验证,如通过SSL_CERT_FILE环境变量设置CA pem。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

背景介绍

在Android平台,当我们使用HTTPs(SSL)进行网络请求的时候,需要配置network_security_config.xml,如果我们在一个或者多个domain-config节点中配置网络安全属性,例如cert pinning,系统的SSL校验程序(verity_cert_chain_platform_specific)就会爆出JNI异常(CertificateException)。下面是一个network_security_config示例

<network-security-config>
    <domain-config cleartextTrafficPermitted="false">
        <domain includeSubdomains="true">azurewebsites.net</domain>
        <pin-set expiration="2021-09-24">
            <pin digest="SHA-256">...</pin>
            <pin digest="SHA-256">...</pin>
        </pin-set>
    </domain-config>

</network-security-config>

有一点需要注意,上述异常的发生场景如下:默认的OpenSSL校验方法失败了,而我们希望系统校验程序(verify_cert_chain_platform_specific

最低0.47元/天 解锁文章
Qt for android 9,x webview No Network Security Config specified, using platform default
波风水门
03-09 613
遇见的第一个异常是: No Network Security Config specified, using platform default 解决办法: 创建一个网络安全性配置 network_security_config.xml,用来声明证书校验方式 <application android:allowBackup="true" android:icon="@mipmap/ic_launcher" android:label="@stri
There was a problem confirming the ssl certificate: [SSL:CERTIFICATE_ VERIFY_ FAILED]certificate解决方案
热门推荐
weixin_43178406的博客
08-26 16万+
本文主要介绍了There was a problem confirming the ssl certificate: [SSL:CERTIFICATE_ VERIFY_ FAILED]certificate verify failed解决方案,希望能对使用Python的同学们有所帮助。 文章目录 1. 问题描述 2. 解决方案
No Network Security Config specified, using platform default
嗯...
06-03 2万+
参考地址 参考地址:学徒浅析Android——Android7.0(N)对于自定义证书和非CA机构证书的适配校验 异常 遇见的第一个异常是: No Network Security Config specified, using platform default 解决办法: <application android:allowBackup="true" android:icon="@mipmap/ic_launcher" android:lab
网络请求出现:No Network Security Config specified, using platform default
詹大先生的博客
07-10 2万+
在使用OkHttp请求数据时,总是失败,会提示:No Network Security Config specified, using platform default 其实这个问题很简单,就是android9.0(28)以后,系统默认不在支持http请求,当我们在发送http请求时会出现以下提示,并且请求网络失败。 首先在res文件夹下新建xml目录,然后创建network_security_config.xml文件,如图: <?xml version="1.0" encoding.
CLEARTEXT communication to v.juhe.cn not permitted by network security policy
上上迁的专栏
02-16 518
原因:Android P 限制了明文流量的网络请求 解决办法: 在 res 下新建一个 xml 目录,然后创建一个名为:network_security_config.xml 文件 ,该文件内容如下: <?xml version="1.0" encoding="utf-8"?> <network-security-config> <base-config cleartextTrafficPermitted="true" /> </network-securi
NetworkSecurityConfig: No Network Security Config specified, using platform default
Jianchi0001的博客
09-23 2万+
使用HttpClient 请求一个网络访问,一直fail,查看log,打印: NetworkSecurityConfig: No Network Security Config specified, using platform default 搜索网上的方法: 方法一: 不起作用 方法二: 将httpclient请求放入子线程里,仍然不起作用 方法三: 将http改为https,仍然不起作用...
uniapp - 解决request请求报错 request:fail abort statusCode:-1 Chain validation failed(调用服务端api接口提示错误,莫名其妙)
高级前端工程师
12-20 1万+
uniapp,请求报错,uni.request网络请求,安卓app调用接口报错,request:fail abort statusCode:-1 Chain validation failed,app端,手机真机运行测试,失败中止状态代码:-1链验证失败,uniapp App端真机调试报错,接口都用不了,离线打包后ios工程包就请求失败,SSL证书问题,UniApp解决调用后端接口出错,ssl证书如何排查是否有问题,设置sslVerify属性,Hbuilder,检查ssl证书没有问题,接口突然全都挂了,项目
Android 日常开发 (39)javax.net.ssl.SSLHandshakeException: java.security.cert.CertPathValidatorException:
ZPCrobot的博客
06-22 3235
前言 运维说服务器证书到期了,更新了证书,结果出现了上述问题。 解决方案 通过排查项目代码,发现之前没有做证书信赖验证。这里先提供一个能解决问题但是不是最佳做法的方案,方便大家快速处理问题 项目使用了okhttp 通过对okhttp的builder添加证书校验 OkHttpClient.Builder builder SSLContext sslContext = SSLContextUtil.getDefaultSLLContext(); if (sslContext != null) {
安卓解决:sun.security.validator.ValidatorException: PKIX path validation failed: java.security.cert.Cert
weixin_39114763的博客
11-26 3035
解决:sun.security.validator.ValidatorException: PKIX path validation failed: java.security.cert.Cert。解决:NotAfter: Sat Nov 26 07:59:59 CST 2022。
Android 调用 API 报错问题 No Network Security Config specified, using platform default
abbccc_yao的博客
07-12 7077
Android 调用 API 报错问题 No Network Security Config specified, using platform default报错问题由来(原因)解决办法如果按照上述修改后还有报错解决方法 报错 No Network Security Config specified, using platform default 问题由来(原因) 大概是因为Android P(9.0)后,访问API接口需要在这里插入代码片加密… 解决办法 创建一个 network_security_c
MediaPlayer 使用报错 (NO NETWORK SECURITY CONFIG SPECIFIED, USING PLATFORM DEFAULT)
天行健,君子以自强不息。
02-03 417
最近在使用Mediaplayer 播放网络视频的时候。发现log 中输出如题错误。开始以为是网络权限问题 然后通过下面链接中的步骤 加上就解决了。 应该是mediaplayer 内部使用了apache 的 网络请求 ,如果没有配置 是访问不了网络的。所以报错。 https://www.freesion.com/article/2796743666/ ...
android Q:No Network Security Config specified, using platform default 的一种解决方法
Gavinsunjiawei的博客
05-15 1万+
在做android studio的时候,利用虚拟机连接主机的服务器获取json信息时,app一直闪退 出现报错: 然后在网上搜了各种方法 1.把url的http改为https; 2.添加网络权限: <uses-permission android:name="android.permission.INTERNET" /> 但是两种方法都没用,第二种网络权限从一开始我就...
Certificate Chain (证书链) 简述
O_o
07-14 5078
涉及 Certificate Chain.
证书链(cert chain)的玩法
LZD30的博客
04-20 4925
1.这个是优快云的证书链,估计*.youkuaiyun.com 为匹配所有子域名型证书 2.DigiCert ==>GeoTrust RSA CA 2018 ==>*.youkuaiyun.com 这是一个完整的SSL证书链,当为某个软件配备证书的时候一定要把整个证书链配置完全,否则有可能会出现某个位置证书查找不到异常。 曾经为EMQ配置证书时就有过配了自己购买的SSL证书,但是没有配中间S...
PKIX path validation failed: java.security.cert.CertPathValidatorException: Path does not chain with any of the trust anchors
最新发布
03-04
### 解决方案概述 当遇到 `PKIX path validation failed` 错误时,通常意味着 SSL/TLS 握手过程中无法验证服务器证书的有效性。具体来说,客户端未能找到一条从服务器提供的证书到本地信任库中的可信根证书的信任链[^1]。 ### 原因分析 此问题可能由多种因素引起: - **缺少中间证书**:如果服务器配置中遗漏了必要的中间CA证书,则客户端将无法构建完整的认证路径。 - **受信存储更新不足**:本地JVM使用的cacerts文件未包含最新的或必需的根证书。 - **时间同步问题**:系统时间和NTP设置不正确可能导致有效性检查失败,特别是对于带有严格有效期限的证书[^3]。 ### 实施解决方案 #### 方法一:确认并安装缺失的中间证书 确保Web应用服务器已正确定义整个证书链条,包括所有上级颁发机构签发给该站点的中间证书。这可以通过联系证书提供商获取完整链来完成。 #### 方法二:更新Java KeyStore (JKS) 定期下载最新版本的浏览器兼容型CA列表,并将其导入至运行应用程序所依赖的那个特定版本的JRE/JDK自带keystore内: ```bash keytool -importcert -alias exampleca -file /path/to/intermediate.crt -keystore $JAVA_HOME/lib/security/cacerts ``` 默认密码通常是`changeit`. #### 方法三:校准操作系统与时钟服务 保证主机的时间戳处于合理范围内,因为过期或未来的日期都会触发类似的错误消息。可以考虑部署专业的网络授时协议(NTP)客户程序以保持精准度。 #### 方法四:调试模式启用 为了更深入地了解具体的验证过程,在启动参数里加入如下选项可以帮助收集诊断信息: ```properties -Djavax.net.debug=ssl,trustmanager ``` 这样可以在日志输出中看到详细的握手流程以及每一步骤的状态报告。 ### 验证修复效果 重启受影响的服务之后尝试重现原始场景;正常情况下应该不会再碰到相同的异常状况。另外也可以通过命令行工具如`openssl s_client`来进行独立测试。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值