OkHttp完全解析(五)HTTPS

OkHttp在平衡HTTPS连接的广泛性和安全性方面有其策略,包括尝试MODERN_TLS和COMPATIBLE_TLS连接。默认信任平台证书,但可通过CertificatePinner实现证书锁定以增强安全性,或自定义信任证书。不过,证书锁定和自定义证书管理需谨慎操作。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

OkHttp试图平衡连个相互竞争的问题:

   尽可能多的主机连接: 包括运行最新版boringssl的高级主机和运行老版OpenSSL的陈旧主机。

   连接的安全性: 通过证书进行远程web服务器验证和通过强加密保证数据交换的私密性。

当与一个HTTPS服务器进行协商时, OkHttp需要知道应当提供哪个版本的TLS和加密路线。一个想要使连接最大化的客户端可能包含陈旧的TLS版本,以及设计弱化的加密套件。一个想要使安全性更高的严格客户端则被限制使用最新版的TLS和最强的加密套件。

   # MODERN_TLS 是一种连接到现代HTTPS服务器的安全配置。

   # COMPATIBLE_TLS 是一种连接到安全但是不实时的HTTPS服务的安全配置。

   # CLEARTEXT 是一种使用在http://URL中的安全配置。

默认情况下,OkHttp会尝试一个MODERN_TLS连接,如果不可行,则转换到COMPATIBLE_TLS连接。 在特定连接类型中的TLS版本和加密套件会相互转换。例如,在OkHttp2.2中,因为POODLE攻击,OkHttp放弃了对SSL3.0的支持, 在OkHttp2.3中,放弃了对RC4的支持。所以,跟你桌面浏览器一样而言,保持最新版的OkHttp是确保安全的最佳方式。

也可以通过一个自定义的TLS版本集合和加密套件,创建自定义的连接设置。例如,这个配置被限制使用三个相对安全性较高的加密套件。缺点是只支持Android 5.0+和同样的web服务器。


6.1 证书锁定

默认请情况下,OkHttp信任主平台的证书授权。这种策略可以使连接最大化,但是受患于授权机构的攻击,比如 2011 DigiNotar attack。 同时也假设你的HTTPS服务器被同一个授权机构签约。


可以使用CertificatePinner限制哪个认证中心被信任。证书锁定可以增加安全性,但是限制了你的服务器团队更新他们TLS证书的能力。在没有服务器TLS 管理员允许的情况下,不要使用证书锁定。


6.2 自定义信任的证书

   完整的代码实例展示了如何通过你自己的设置替换主平台的证书授权。跟上面一样,在没有服务器TLS管理员守护的情况下,不要使用自定义证书。

 

 

评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值