Android合规问题引起的https证书校验

原创 已于 2022-10-12 17:24:58 修改 · 1.7k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#https #ssl #java

于 2022-10-12 17:16:49 首次发布
本文介绍了一种HTTPS证书管理方案,该方案解决了服务器证书定期更新导致客户端访问失败的问题,并确保了网络传输的安全性和合规性。 
     //1、设置httpsURLConnection.setSSLSocketFactory

    public static HttpURLConnection getHttpURLConnection(URL url) throws IOException {
        HttpURLConnection conn = null;
        if (url.toString().startsWith("https")) {
            final HttpsURLConnection httpsURLConnection = (HttpsURLConnection) url.openConnection();
            httpsURLConnection.setHostnameVerifier(HOSTNAME_VERIFIER);
            try {
                httpsURLConnection.setSSLSocketFactory(getSSLSocketFactory(null));
            } catch (NoSuchAlgorithmException | KeyManagementException e) {
                e.printStackTrace();
            }
            conn = httpsURLConnection;
        } else {
            conn = (HttpURLConnection) url.openConnection();
        }
        return conn;
    }
    /**
     * '
     * 暂时解决合规问题
     * <p>
     * 使用服务器端证书,只信任指定证书。
     * 但是由于服务器端证书3个月一变,如果过了12.10后为了防止访问不了,信任所有证书。
     *
     * @param context
     * @return
     * @throws NoSuchAlgorithmException
     * @throws KeyManagementException
     */
    public static SSLSocketFactory getSSLSocketFactory(Context context) throws NoSuchAlgorithmException, KeyManagementException {
        X509TrustManager xtm;

        if (System.currentTimeMillis() < 1670662401000l && context != null) {

            if (SSLConfigUtils.sslKey == null) {
                xtm = createTrustCustomTrustManager(getInputStreamFromAsset(context));
//                Toast.makeText(context,"证书校验1",0).show();
            } else {
                xtm = createTrustCustomTrustManager(new ByteArrayInputStream(SSLConfigUtils.sslKey.getBytes()));
//                Log.e("xxx-我的证书",SSLConfigUtils.sslKey);
//                Toast.makeText(context,"证书校验2",0).show();
            }
        } else {
            xtm = getX509TrustManager();
//            Toast.makeText(context,"证书不校验",0).show();
        }
        SSLContext sslContext = null;
        sslContext = SSLContext.getInstance("SSL");
        sslContext.init(null, new TrustManager[]{xtm}, new SecureRandom());
        return sslContext.getSocketFactory();
    }
}

 /**
     * 创建只信任指定证书的TrustManager
     *
     * @param inputStream:证书输入流
     * @return
     */
    private static X509TrustManager createTrustCustomTrustManager(InputStream inputStream) {
        try {
            CertificateFactory certificateFactory = CertificateFactory.getInstance("X.509");
            KeyStore keyStore = KeyStore.getInstance(KeyStore.getDefaultType());
            keyStore.load(null);

            Certificate certificate = certificateFactory.generateCertificate(inputStream);
            //将证书放入keystore中
            String certificateAlias = "ca";
            keyStore.setCertificateEntry(certificateAlias, certificate);
            if (inputStream != null) {
                inputStream.close();
            }

            TrustManagerFactory trustManagerFactory = TrustManagerFactory.
                    getInstance(TrustManagerFactory.getDefaultAlgorithm());
            trustManagerFactory.init(keyStore);
            TrustManager[] trustManagers = trustManagerFactory.getTrustManagers();

            if (trustManagers.length != 1 || !(trustManagers[0] instanceof X509TrustManager)) {
                throw new IllegalStateException("Unexpected default trust managers:"
                        + Arrays.toString(trustManagers));
            }
            return (X509TrustManager) trustManagers[0];
        } catch (Exception e) {
            e.printStackTrace();
        }
        return null;
    }

    /**
     * 读取放在assets里的证书(服务器端配置的证书公钥)
     *
     * @param context
     * @return
     */
    private static InputStream getInputStreamFromAsset(Context context) {
        InputStream inputStream = null;
        try {
            inputStream = context.getAssets().open("ssl.pem");
        } catch (IOException e) {
            e.printStackTrace();
        }
        return inputStream;
    }
    /**
     * 创建信任所有证书的TrustManager
     */
    @NonNull
    public static X509TrustManager getX509TrustManager() {
        return new X509TrustManager() {
            @Override
            public void checkClientTrusted(X509Certificate[] chain, String authType) {
            }

            @Override
            public void checkServerTrusted(X509Certificate[] chain, String authType) {
            }

            @Override
            public X509Certificate[] getAcceptedIssuers() {
                return new X509Certificate[]{};
            }
        };
    }
 

import android.util.Log;

import java.io.BufferedReader;
import java.io.InputStream;
import java.io.InputStreamReader;
import java.net.HttpURLConnection;
import java.net.URL;

public class SSLConfigUtils {

    private InputStream inputStream;

    public static  String sslKey;


    public static InputStream doGetSSL() {

        BufferedReader reader = null;
        String bookJsonString = null;
        InputStream inputStream = null;

        Log.e("xxx", "获取证书");
        try {
            //1.HttpURLConnection建立连接
            HttpURLConnection httpURLConnection = null;
            String url = "https://xxx.com/xxx/ssl.pem";
            URL requestUrl = null;
            try {
                requestUrl = new URL(url);

                httpURLConnection = (HttpURLConnection) requestUrl.openConnection();//打开连接
                httpURLConnection.setRequestMethod("GET");//两种方法GET/POST
                httpURLConnection.setConnectTimeout(5000);//设置超时连接时间
                httpURLConnection.connect();


                //2.InputStream获取二进制流
                inputStream = httpURLConnection.getInputStream();

                //3.InputStreamReader将二进制流进行包装成BufferedReader
                reader = new BufferedReader(new InputStreamReader(inputStream));

                //4.从BufferedReader中读取String字符串,用StringBulider接收
                StringBuilder bulider = new StringBuilder();
                String line;
                while ((line = reader.readLine()) != null) {
                    bulider.append(line);
                    bulider.append("\n");
                }
                //5.StringBulider将字符串进行拼接
                bookJsonString = bulider.toString();

//                Log.e("xxx", bookJsonString);

                sslKey = bookJsonString;



            } catch (Exception e) {
                e.printStackTrace();
            }
        } catch (Exception e) {
            e.printStackTrace();
        }
        return inputStream;
    }

}

现在来讲解一下上述代码解决了一个什么事情 :

1.首先网信办、应用市场要求不能用明文传输,所以使用了https传输。

2.使用https发现网络请求不了,因为https要求证书通过验证,为了接口能正常访问,于是设置了X509TrustManager 信任所有证书。

事情到这儿好像是解决了,但相关部门又提出来了,X509TrustManager这种信任所有证书存在安全隐患,不合规。使用charles抓包亲测(将charles证书导出安装到手机上)的确能抓取到https传输的明文信息。

3.于是改成只信任指定ssl证书。具体做法是:在app端上assets目录里存放服务器端给的ssl证书 *.pem(公钥),然后通过getInputStreamFromAsset的方式读取,接着调用   xtm = createTrustCustomTrustManager(getInputStreamFromAsset(context));设置只信任服务器端给的指定ssl证书。通过添加上述操作之后,再使用charles抓包(将charles证书导出安装到手机上),发现抓取不到网络请求。到此第2步的问题解决。

某天发现app访问不了网络,原来是服务器端的ssl证书是在国内某机构申请的免费证书,3个月就会更新一次。服务器端证书更新了,但存放在app端的还是旧的证书,故会出现访问不了网络的问题。于是出现了接下来的操作。

4.服务器端证书发生变化时及时放到网络上,通过接口(见上面代码SSLConfigUtils )下载到本地,然后在接口请求中设置信任下载的证书。

虽然这样把证书放到网络上不安全,但能解决相关部门的检查,就这样吧。 针对这种服务器端https证书不定期更新的问题,你们有什么好的解决办法吗?

汤米粥
关注
【家政平台开发(51)】家政平台上线攻略:域名解析与网站上线全流程
邓邓子的博客
04-16 744
本文为 “家政平台开发” 专栏的第五十一篇,聚焦家政平台部署发布阶段的域名解析与网站上线流程。开篇介绍域名注册流程与平台选择,分享域名命名策略及品牌保护要点。接着深入讲解 DNS 服务器选择与配置、各类域名解析记录设置,还提供解析故障排查与优化技巧。最后阐述网站上线前的内容功能检查、上线流程与应急预案制定,以及上线后的持续监测与优化。旨在为家政平台开发人员提供详尽的实操指南,助力平台平稳上线与后续良好运营。
android 服务器证书校验,Android HTTPS证书验证的简单方式
weixin_39607873的博客
05-26 2234
1. 背景与需求近期在做IP切换的HTTPS访问时,遇到了一些问题客户端如何进行HTTPS证书验证。其实对于一般的项目基本都是做的单向验证,即在客户端证书或者HOST的验证;对于金融、银行相关的项目才会使用的双向验证客户端与服务端之间都要对彼此进行验证,以防止中间人进行攻击。2.实现目标本文记录的是:客户端实现对HOST的验证,这样基本满足一般项目的需求,也不需要客户端内置证书,引起更新时候...
android HTTPS双向认证
Froeverlove的博客
12-08 2312
近期项目中遇到需要对HTTPS进行双向认证,整理下可以实现的两种方式。
android HTTPS校验服务器证书漏洞修复
kyzycyey的专栏
04-10 2507
上述代码是重写了域名校验的逻辑,每个证书里携带的域名是不可更改的,如果证书是合法的证书签发机构签发的,并且域名是和你要请求的域名对的上的,基本上就能确认你访问就服务器地址就是要访问的服务器地址,这样才是安全的。上述代码就是重新了证书校验的逻辑,信任所有的证书,正确的逻辑是要校验证书是否是可信任的证书签发机构所认证的,如果不校验的话你虽然是用了https加密传输,只要你的客户端用户信任了其他的证书哪怕是非法的证书,一样能够请求通过,而这个证书的服务器就可以解密你的报文,拿到你的隐私信息了。
Android下载组件安全:HTTPS证书验证实现全解析
最新发布
gitblog_00610的博客
09-20 705
你是否遇到过这些问题?明明使用HTTPS下载却遭遇中间人攻击,应用因证书配置不当被应用商店拒绝,下载组件在Android 14上频繁崩溃?2024年OWASP移动安全报告显示,37%的Android应用在网络传输层存在安全漏洞,其中证书验证不当占比高达63%。本文将系统讲解如何基于FileDownloader实现安全可靠的HTTPS下载,解决证书校验证书锁定、信任管理等核心问题。 读完本文你将...
Java Web 学习笔记之七:HttpsURLConnection实现Https请求发送(基本用法)
johnson_moon的博客
12-11 1734
简单介绍HttpsURLConnection用法
Android https证书校验、防抓包
conerconced的博客
10-12 2260
android https证书校验,防抓包
Android SSL证书验证原理
08-25
Android SSL验证原理
Android WebView下载问题诊断:日志分析与调试的高级技巧
[Android WebView 实现文件下载功能](https://slideplayer.com/slide/17914287/108/images/31/DownloadManager+The+download+manager+is+a+system+service+that+handles+long-running+HTTP+downloads..jpg) ...
安装一个apk引起的无法开机。
xiaxia20220117的博客
01-24 234
故事的开始 今天老大急冲冲的跑过来说:xx,你帮我看看这手机咋回事,突然开不了机。 我心想:我最近也没提过代码,应该不是我的问题吧。(甩锅.) 把电脑插上手机后,我看到下面这段报错一直在loop 12-31 16:08:49.603 21899 21899 E AndroidRuntime: *** FATAL EXCEPTION IN SYSTEM PROCESS: main 12-31 16:08:49.603 21899 21899 E AndroidRuntime: java.lang.Illega
android 开发unable to find valid certification path to requested target
04-28
### Android 开发中证书路径无效问题解决方案 在 Android 应用程序开发过程中,遇到 `javax.net.ssl.SSLHandshakeException` 和 `PKIX path building failed` 错误通常是因为应用程序无法验证目标服务器的 SSL/TLS ...
跨App通知数据提取的安全边界:隐私合规红线与反检测机制深度探讨
随着移动生态中跨App通知数据提取技术的广泛应用,隐私泄露与合规风险日益凸显。本文系统梳理了通知数据抓取的技术背景及其引发的隐私挑战,分析了GDPR、CCPA及PIPL等核心法规对数据采集的约束条件,并构建了基于...
android ssl证书验证
11-15
android ssl证书验证
Android webview手动校验https证书(by 星空武哥)
08-29
有些时候由于Android系统的bug或者其他的原因,导致我们的webview不能验证通过我们的https证书,最明显的例子就是华为手机mate7升级到Android7.0后,手机有些网站打不开了,而更新了webview的补丁后就没问题
Android APP之WebView校验SSL证书的方法
08-29
主要介绍了Android APP之WebView校验SSL证书的方法,需要的朋友可以参考下
android使用自定义证书https连接
08-08
使用.bks格式的自定义证书HTTPS连接方式,验证自定义证书。 参考博客http://blog.youkuaiyun.com/raptor/article/details/18898937
android Https的使用及双向验证证书
jiushi1995的博客
02-24 4740
一、 Https 简介 1、 什么是Https? 简单来说, HTTPS = HTTP + SSL/TLS协议。 HTTP是应用层协议,TCP是传输层协议,在应用层和传输层之间,增加了一个安全套接层SSL/TLS 2. HTTPS加密方式(SSL/TLS 加密方式) SSL加密使用了对称加密及非对称加密的方式。在数据传输过程中,使用对称加密方式加密数据。使用非对称加密方式加密对称加密算法的密钥。 使用两种加密方式的原因:非对称加密拥有公,私两种密钥,加密及解密的算法不同,更安全,但在加密解密的
Android 4.4系统HTTPS证书校验
梦翼-的博客
09-24 4129
Android系统在建立HTTPS三次握手后会进行证书校验,接下来根据android 7.0系统代码来看一下证书校验流程   从org.conscrypt.TrustManagerImpl开始介绍 1、证书校验入口函数  @Override public void checkServerTrusted(X509Certificate[] chain, String authType)
Android 安全:HTTPS OKHTTP 域名与证书验证
阿东
05-19 6069
作为前端开发,应该或多或少的都会熟悉https,特别是邻居家IOS,早就必须使用HTTPS了,Android也在9.0的时候增加了这一要求,当我们的targetSdkVersion指到9.0以上时,必须使用HTTPSHTTPS 简单来讲,HTTPS可以理解为 HTTP + SSL ,至于具体的HTTPS机制,涉及到一系列的加密,证书。。。。这边就不多做说明了,这里推荐郭神的一篇文章《写一篇最好懂的HTTPS讲解》,写的特别通俗易懂。 跳过HTTPS 这里简单说一句,Android 9.0 之后谷歌要.
使用openssl和curl获取HTTPS服务端证书
同时,该技术也适用于渗透测试和红队演练中,用于识别目标系统的证书配置弱点,如使用弱签名算法(MD5/SHA-1)、自签名证书、通配符范围过大等问题。通过对证书内容的深度解析,还能发现潜在的信息泄露风险,比如...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值