堆栈内存溢出
  繁体   English   中英

SSL证书固定不再适用于Android 9

[英]SSL Certificate Pinning not working anymore on Android 9

 原文  2018-09-20 13:51:30       android/ ssl/ certificate-pinning

问题描述

我正在使用以下证书固定代码已经工作了一段时间(出于简洁的目的编辑了错误处理): 

private static SSLContext _ssl_context = null;

public static SSLSocketFactory get_ssl_socket_factory(Context context)
{
    if (_ssl_context != null) {
        return _ssl_context.getSocketFactory();
    }

    KeyStore keystore = get_keystore(context);
    try
    {
        TrustManagerFactory tmf = TrustManagerFactory.getInstance("X509");
        tmf.init(keystore);
        _ssl_context = SSLContext.getInstance("TLS");
        _ssl_context.init(null, tmf.getTrustManagers(), null);
        return _ssl_context.getSocketFactory();
    }
    catch (GeneralSecurityException e) {
        // ...
    }
}

这或多或少是由官方文档提供的代码。 然后使用SocketFactory如下: 

if ("https".equals(target.getProtocol()) &&
    "example.com".equals(target.getHost()) &&
    huc instanceof HttpsURLConnection)
{
    ((HttpsURLConnection) huc).setSSLSocketFactory(
            SSLHelper.get_ssl_socket_factory(this));
}

当我在Android 8设备上运行此代码时,事情按预期工作。 但是,在我的Android 9模拟器上,抛出异常: 

E/App: https://example.com/page.html could not be retrieved! (Hostname example.com not verified:
            certificate: sha1/VYMjxowFaRuZpycEoz+srAuXzlU=
            subjectAltNames: [])
        javax.net.ssl.SSLPeerUnverifiedException: Hostname example.com not verified:
            certificate: sha1/VYMjxowFaRuZpycEoz+srAuXzlU=
            subjectAltNames: []
            at com.android.okhttp.internal.io.RealConnection.connectTls(RealConnection.java:201)
            at com.android.okhttp.internal.io.RealConnection.connectSocket(RealConnection.java:149)
            at com.android.okhttp.internal.io.RealConnection.connect(RealConnection.java:112)
            at com.android.okhttp.internal.http.StreamAllocation.findConnection(StreamAllocation.java:184)
            at com.android.okhttp.internal.http.StreamAllocation.findHealthyConnection(StreamAllocation.java:126)
            at com.android.okhttp.internal.http.StreamAllocation.newStream(StreamAllocation.java:95)
            at com.android.okhttp.internal.http.HttpEngine.connect(HttpEngine.java:281)
            at com.android.okhttp.internal.http.HttpEngine.sendRequest(HttpEngine.java:224)
            at com.android.okhttp.internal.huc.HttpURLConnectionImpl.execute(HttpURLConnectionImpl.java:461)
            at com.android.okhttp.internal.huc.HttpURLConnectionImpl.connect(HttpURLConnectionImpl.java:127)
            at com.android.okhttp.internal.huc.DelegatingHttpsURLConnection.connect(DelegatingHttpsURLConnection.java:89)
            at com.android.okhttp.internal.huc.HttpsURLConnectionImpl.connect(HttpsURLConnectionImpl.java:26)
            at ...

在Android 9中似乎发生了一些变化,但到目前为止,我还未能找到有关此行为的任何信息。 我的想法如下:

  • 也许这种做证书固定的方式已被弃用
  • 也许Android 9将不再验证具有SHA1证书的域

还有其他想法吗?

1 个解决方案

解决方案1
 4 已采纳  2018-09-27 08:24:14

我刚才有同样的问题。 根据Android 9 Change-Log,对于没有SAN的证书,这是预期的:

RFC 2818描述了两种使域名与证书匹配的方法 - 使用subjectAltName(SAN)扩展中的可用名称,或者在没有SAN扩展的情况下,回退到commonName(CN)。

但是,在RFC 2818中,对CN的回退已被弃用。因此,Android不再回归使用CN。 要验证主机名,服务器必须提供具有匹配SAN的证书。 不包含与主机名匹配的SAN的证书不再受信任。

来源: 使用证书进行主机名验证

暂无
暂无

声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 Android SSL 证书固定 Android SSL证书固定与改造 证书固定不适用于Android上的OkHttp 禁用SSL证书固定 证书固定和SSL SSL固定证书 Libcurl证书固定在iPhone上工作但不在Android上工作 如何以编程方式在原生层 Android 中实现 SSL 证书锁定 SSL证书与Picasso钉扎 android中websockets的证书固定
相关标签
 
粤ICP备18138465号  © 2020-2024 STACKOOM.COM