Android5.0以下https兼容ssl3的问题

已于 2023-07-06 09:52:23 修改
阅读量1.5k 收藏 1
点赞数
分类专栏: Java Android 文章标签: https
于 2022-04-27 11:32:58 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Mr_Tony/article/details/124447133
版权
Android 同时被 2 个专栏收录
134 篇文章 3 订阅
订阅专栏
Java
16 篇文章 0 订阅
订阅专栏

文章目录

一、前言

一般来说大家请求一些经过CA认证的https网址时候是不需要做额外操作的,使用正常的https请求方式就好了,有些封装好的第三方库,比如OkHttp则更为方便,只是修改一下网址就可以了。但是https里面有很多不同版本的协议和套接字,比如TSL1.0, TSL2.0,TSL3.0,SSL1,SSL2,SSL3等,还有其余很多细小的东西。一般来说两边协议都一致才能访问成功,假设两边支持的协议不一致,就无法访问成功。一般来说都是没什么问题的,但是由于技术发展过快,在以前的Android5.0以下对ssl3兼容有问题。现在如果新生成的CA证书,或者使用nginx生成的证书在忽略这一点时候会出现无法访问的问题,虽然https://www.baidu.com在系统浏览器里面无法访问。

二、解决方式

解决方式的话就是在进行https校验的话强制使用TLS1.0TLS2.0较低的也是较全的协议进行校验。
使用该解决方式的前提是:
在使用比较新的框架或者版本时候会默认使用ssl3进行通信,但是因为客户端系统比较旧不支持该协议,所以需要强制指定协议版本为TLS1.0TLS2.0。但是假若,服务器只支持ssl3,或者双方没有共同的协议,该指定方式是无效的,所以文末会有查验服务器和手机支持的协议的方式以及拓展协议的方式

三、代码

这里主要使用的是HttpUrlConnection去编写的网络请求,在低版本的时候底层还是使用HttpClient,高版本改成了OkHttp。配置入口可能不一样,但是配置代码是一样的。另外网上流传的很多方式都不太好使,这些代码主要还是参考的OkHttp的部分源码改的。这个代码主要是我的朋友提供,这里仅作为收录。

TLSSocketFactory.java


import android.support.annotation.Nullable;
import java.io.IOException;
import java.net.InetAddress;
import java.net.Socket;
import java.net.UnknownHostException;
import java.security.KeyManagementException;
import java.security.KeyStore;
import java.security.KeyStoreException;
import java.security.NoSuchAlgorithmException;
import java.util.Arrays;

import javax.net.ssl.SSLContext;
import javax.net.ssl.SSLSocket;
import javax.net.ssl.SSLSocketFactory;
import javax.net.ssl.TrustManager;
import javax.net.ssl.TrustManagerFactory;
import javax.net.ssl.X509TrustManager;

public class TLSSocketFactory extends SSLSocketFactory {

    private SSLSocketFactory delegate;
    private TrustManager[] trustManagers;

    public TLSSocketFactory() throws KeyManagementException, NoSuchAlgorithmException, KeyStoreException {
        generateTrustManagers();
        SSLContext context = SSLContext.getInstance("TLS");
        context.init(null, trustManagers, null);
        delegate = context.getSocketFactory();
    }

    private void generateTrustManagers() throws KeyStoreException, NoSuchAlgorithmException {
        TrustManagerFactory trustManagerFactory = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
        trustManagerFactory.init((KeyStore) null);
        TrustManager[] trustManagers = trustManagerFactory.getTrustManagers();

        if (trustManagers.length != 1 || !(trustManagers[0] instanceof X509TrustManager)) {
            throw new IllegalStateException("Unexpected default trust managers:"
                    + Arrays.toString(trustManagers));
        }

        this.trustManagers = trustManagers;
    }


    @Override
    public String[] getDefaultCipherSuites() {
        return delegate.getDefaultCipherSuites();
    }

    @Override
    public String[] getSupportedCipherSuites() {
        return delegate.getSupportedCipherSuites();
    }

    @Override
    public Socket createSocket() throws IOException {
        return enableTLSOnSocket(delegate.createSocket());
    }

    @Override
    public Socket createSocket(Socket s, String host, int port, boolean autoClose) throws IOException {
        return enableTLSOnSocket(delegate.createSocket(s, host, port, autoClose));
    }

    @Override
    public Socket createSocket(String host, int port) throws IOException, UnknownHostException {
        return enableTLSOnSocket(delegate.createSocket(host, port));
    }

    @Override
    public Socket createSocket(String host, int port, InetAddress localHost, int localPort) throws IOException, UnknownHostException {
        return enableTLSOnSocket(delegate.createSocket(host, port, localHost, localPort));
    }

    @Override
    public Socket createSocket(InetAddress host, int port) throws IOException {
        return enableTLSOnSocket(delegate.createSocket(host, port));
    }

    @Override
    public Socket createSocket(InetAddress address, int port, InetAddress localAddress, int localPort) throws IOException {
        return enableTLSOnSocket(delegate.createSocket(address, port, localAddress, localPort));
    }

    private Socket enableTLSOnSocket(Socket socket) {
        if(socket != null && (socket instanceof SSLSocket)) {
            ((SSLSocket)socket).setEnabledProtocols(new String[] {"TLSv1.1", "TLSv1.2"});
        }
        return socket;
    }

    @Nullable
    public X509TrustManager getTrustManager() {
        return  (X509TrustManager) trustManagers[0];
    }

}

NullHostNameVerifier.java

import android.util.Log;

import javax.net.ssl.HostnameVerifier;
import javax.net.ssl.SSLSession;

public class NullHostNameVerifier implements HostnameVerifier {

    @Override   
    public boolean verify(String hostname, SSLSession session) {
        Log.i("RestUtilImpl", "Approving certificate for " + hostname);
        return true;
    }

}

SSLUtils.java

import android.os.Build;


import java.security.SecureRandom;
import java.security.cert.CertificateException;
import java.security.cert.X509Certificate;

import javax.net.ssl.HttpsURLConnection;
import javax.net.ssl.SSLContext;
import javax.net.ssl.SSLSocketFactory;
import javax.net.ssl.TrustManager;
import javax.net.ssl.X509TrustManager;

public class SSLUtils {

    private static void trustAllHttpsCertificates() throws Exception {
        TrustManager[] trustAllCerts = new TrustManager[1];
        TrustManager tm = new miTM();
        trustAllCerts[0] = tm;
        SSLContext sc = SSLContext.getInstance("TLS");
        sc.init(null, trustAllCerts, new SecureRandom());
        HttpsURLConnection.setDefaultSSLSocketFactory(sc.getSocketFactory());
    }

    static class miTM implements TrustManager, X509TrustManager {
        @Override
        public X509Certificate[] getAcceptedIssuers() {
            return null;
        }

        public boolean isServerTrusted(X509Certificate[] certs) {
            return true;
        }

        public boolean isClientTrusted(X509Certificate[] certs) {
            return true;
        }

        @Override
        public void checkServerTrusted(X509Certificate[] certs, String authType)
                throws CertificateException {
            return;
        }

        @Override
        public void checkClientTrusted(X509Certificate[] certs, String authType)
                throws CertificateException {
            return;
        }
    }

    /**
     * 忽略HTTPS请求的SSL证书,必须在openConnection之前调用
     *
     * @throws Exception
     */
    public static void ignoreSsl(HttpsURLConnection conn) throws Exception {


        if (Build.VERSION.SDK_INT < Build.VERSION_CODES.LOLLIPOP) {// 5.0以下做https兼容处理
            HttpsURLConnection.setDefaultSSLSocketFactory(new TLSSocketFactory());
            ((HttpsURLConnection) conn).setSSLSocketFactory(new TLSSocketFactory());
        }

//        if (Build.VERSION.SDK_INT >= Build.VERSION_CODES.LOLLIPOP) {
//            HttpsURLConnection.setDefaultHostnameVerifier(new NullHostNameVerifier());
// 			  ((HttpsURLConnection) conn).setHostnameVerifier(new NullHostNameVerifier());
//            trustAllHttpsCertificates();
//        } else {
//            HttpsURLConnection.setDefaultSSLSocketFactory(new TLSSocketFactory());
//            ((HttpsURLConnection) conn).setSSLSocketFactory(new TLSSocketFactory());
//
//        }


    }


    //这里是创建一个SSLSocketFactory,提供给上面的 .sslSocketFactory()
    public static SSLSocketFactory createSSLSocketFactory() {
        SSLSocketFactory ssfFactory = null;
        try {
            SSLContext sc = SSLContext.getInstance("TLS");
            sc.init(null, new TrustManager[]{new TrustAllCerts()}, new SecureRandom());
            ssfFactory = sc.getSocketFactory();
        } catch (Exception e) {
        }

        return ssfFactory;
    }

}

注释的代码是因为高版本无需处理,所以只处理低版本,如果高版本需要处理,则视情况决定

使用方式如下
在执行网络请求前调用
SSLUtils.ignoreSsl(connection);

本地不支持的加密套件

如果出现本地不支持的加密套件,服务器又无法修改,那么需要本地升级openssl.so。新的库去GitHub下载,该方案未测试
https://github.com/leenjewel/openssl_for_ios_and_android

待验证的搜集的链接:

  1. SSLSocket,Android各个版本协议支持情况:
    https://developer.android.google.cn/reference/javax/net/ssl/SSLSocket#cipher-suites

  2. 不同版本的TLS在Android中的支持情况

  3. 检查服务器协议支持情况(使用nmap命令):
    https://blog.csdn.net/wurensen/article/details/122343213
    https://gist.github.com/gotev/f1a8a221e2d1d09bcb93e823b8e5a05a

  4. OkHttp对TLS1.2的兼容:support enabling TLSv1.2 on Android 4.1-4.4

  5. 服务器https在线测试情况1(这个网站更好点,会列出加密算法,比如x25519):
    https://www.ssllabs.com/ssltest/

  6. 服务器https在线测试情况2:
    https://myssl.com

  7. Android 4.2.2,如何为HttpsURLConnection启用TLS 1.2?

  8. android版本对tls支持,Android 4.2 TLS1.2支持(包含了怎么添加不支持的加密套件):
    https://www.codenong.com/js469fd525c191/

  9. conscrypt(该库可以在Android SDK版本9 之上支持所有最新的tls协议及缺少的加密套件): https://github.com/google/conscrypt/

  10. ssl-provider(一个轻量级加密库,如果协议缺少就会下载conscrypt进行支持):https://github.com/szkolny-eu/ssl-provider

  11. wolfssljni(也是一个加密程序,但是应该是跟服务端配套使用,需要测试):https://github.com/wolfSSL/wolfssljni

  12. https://blog.csdn.net/weixin_30249953/article/details/115781291
    测试工具:
    https://github.com/mozilla/cipherscan

可以验证椭圆曲线算法属于哪一种加密套件版本。然后选择启用哪一个加密套件

  1. X25519仅在Java13时候开始支持

https://zhuanlan.zhihu.com/p/491112832

  1. NetCipher加密库,支持Android平台的网络请求

关于X25519的一些帖子

  1. SSLHandshakeException: Handshake failed on Android N/7.0 :
    https://stackoverflow.com/questions/39133437/sslhandshakeexception-handshake-failed-on-android-n-7-0
  2. Is X25519 available as curve for KEX in Android? :
    https://stackoverflow.com/questions/47959542/is-x25519-available-as-curve-for-kex-in-android
  3. Android - SSL/TLS and ECC (Elliptic curve cryptography) :
    https://stackoverflow.com/questions/9114950/android-ssl-tls-and-ecc-elliptic-curve-cryptography
  4. SSL/TLS深度解析–测试TLS/SSL加密
    https://www.yisu.com/zixun/53187.html
  5. KeyAgreement:
    https://developer.android.com/reference/javax/crypto/KeyAgreement
  6. 通过 HTTPS 和 SSL 确保安全:
    https://developer.android.google.cn/training/articles/security-ssl
  7. 关键词: Curve25519 X25519
    利用openssl查看网站证书
    https://blog.csdn.net/m0_46500807/article/details/113783957
Android全局取消ssl校验,Android网络请求忽略https证书验证
weixin_36484465的博客
06-04 3567
在使用Volley和OkHttp,Retrofit的时候,访问https的网站,经常会碰到一个异常就是javax.net.ssl.SSLHandshakeException,大致就是证书相关的异常。一般这种情况下会报的异常是这样的:javax.net.ssl.SSLHandshakeException: java.security.cert.CertPathValidatorException: ...
Android5.0以下手机通过https请求服务器报SSLException异常的原因及解决方案
江户川米兰的博客
07-11 7528
问题描述:    最近突然收到了测试组提的bug,说是部分手机打开APP的时候会报服务器连接异常。然后我就用我的手机试了下,发现没有问题。然后用他们在缺陷描述中写的测试机型和系统版本进行了测试。发现确实会报服务区连接异常。然后通过本地调试,发现网络请求的时候报了如下异常:该异常为SSL握手失败,但是为什么有的手机可以成功有的手机又失败了呢。然后又试了下其他版本的手机,发现Android5.0以下系...
https解决SSLHandshakeException问题.zip
12-09
由于Android5.0以下的手持机在使用https协议通信是,在认证证书的时候回出现SSLHandshakeException问题,所以该代码避免了这个问题
android https 简书,Android5.0以下支持https请求
weixin_33072399的博客
05-27 498
萌新在今天弄了一天才解决【哭~】,虽然现在手机发展很迅速,但是还有一些是5.0以下的机型,把今天遇到的问题记录一下,萌新解决问题翻到的一些文章官方的文档显示,在API 16+以上,TLS1.1和TLS1.2是默认开启的。但是实际上在API 20+以上才默认开启,4.4以下的版本是无法使用TLS1.1和TLS 1.2的,这也是Android系统的一个bug。关键代码1.定义一个类继承SSLSocke...
android 5.0及以上https No peer certificate
u013066109的专栏
02-15 3921
项目中Android https或http请求地址重定向为HTTPS的地址,相信很多人都遇到了这个异常(无终端认证):javax.net.ssl.SSLPeerUnverifiedException: No peer certificate 百度一下 很对结果android httpClient 支持HTTPS的2种处理方式    我要说的是 android 5.0及以上https
Android HTTPS、TLS版本支持相关解决方案
s003603u的专栏
12-29 2万+
解决4.xAndroid系统在进行HTTPS访问时报javax.net.ssl.SSLProtocolException的问题
Android 5.0(API 21)以下系统兼容(retrofit、okhttp)
三杯五岳
04-29 3717
解决 Android app 项目在 Android 5.0(21)以下兼容问题
解决android4.4以下sslv3 alert handshake failure和protocol TLSv1.3 is not supported的问题
最新发布
kuanxu的专栏
05-18 1708
解决android4.4以下sslv3 alert handshake failure和protocol TLSv1.3 is not supported的问题
Android解决HTTPS连接SSL问题
生活,需要你的温暖。
01-09 2500
Android 5.0以下版本(API 21以下),系统默认没有开启TLS协议,因此如果直接使用OKHTTP请求HTTPS链接,会出现SSL超时的问题。 先来看下SSLandroid版本中支持的情况: Android5.0的行为变更里面提到: https://developer.android.google.cn/about/versions/android-5.0-changes#ssl ...
Android 5.0 Browser源码
05-23
Android 5.0浏览器在安全方面也有显著增强,包括HTTPS的默认启用、网站身份验证、TLS/SSL协议的更新,以及对恶意软件和网络钓鱼攻击的防护。 **6. 性能优化** 为了提供更好的用户体验,Android 5.0浏览器源码中包含...
[Android各版本特性]Android 5.0 Android Lollipop
hshuaijun55的专栏
12-08 1014
文章目录1.Material Design2.以性能为中心3.通知4.高级连接5.高性能图形6.更强大的音频功能7.增强的相机和视频功能8.屏幕采集和共享9.新的传感器类型10.Chromium WebView11.用于开发省电应用的工具12.Android 5.0行为变更*12.常用API应该注意的部分*13.Android5.1常用API应该注意的部分 1.Material Design A...
Android逆向之httpsandroid实战项目源码
m0_65511948的博客
12-28 1957
超文本传输协议,是一个基于请求与响应,无状态的,应用层的协议,常基于TCP/IP协议传输数据,互联网上应用层最为广泛的一种网络协议。 发展史 协议 发展 说明 HTTP/0.9 1991年定稿最早的HTTP协议,没有作为正式标准 只有GET命令;没有请求头、请求体、返回头;服务器只能读取HTML文件以ASCII字符流返回给客户端;默认80端口 HTTP/1.0 1996年发布,正式作为标准 引入了POST、HEAD等命令、请求头、响应头、状态码;提供了缓存、多字符集支持、multi-pa
ReactNative网络获取数据在Android平台5.0以下https访问失败的问题
IT_luntan的专栏
11-21 1840
概述这篇文章是处理React Native访问httpsandroid5.0以下失败的问题,用于满足开发者访问网络的需求。注: 1.本文示例及代码分析基于react native 0.44.3版本。 2.限于水平有限,仅用于参考。期望更正,谢谢。 3.如果后台CA证书是正式的证书则不会出现此问题以下为处理方式,代码很简单,复制使用即可: 1、具体的RN如何使用网络直接参考官网即可,R
Android 6.0 HTTPS SSL 无法访问,提示Handshake failed(握手失败),解决方案
热门推荐
Lincoln 的专栏
08-31 3万+
前言之前开发的一个项目使用的是http请求,但是安全公司给出了一个安全报告,建议使用https协议来访问网络资源,使用私签证书来实现了httpsAndroid 6.0以下的版本均可以使用,Android 6.0及以上的机型请求成功,并且在logcat中有Handshake failed的Exception。
客户端与服务器SSL双向认证(客户端:Android-服务端:vc)-含源码
BeiHaiZuoPeng的专栏
04-23 4245
客户端与服务器SSL双向认证(客户端Android-服务端vc)-含源码 (一)服务端 已经生成了client.p12、server.p12、ca.p12;主要实现客户端过程 (二)目录结构 (三)客户端注意 1.生成bks,时候需要去下载对应的jar包:http://www.bouncycastle.org/latest_releases.h
android 忽略https证书,android https HttpsURLConnection 忽略证书
weixin_28820113的博客
05-27 804
在请求https的时候,有时候会出现各种报错,以下代码可忽略证书。之前网上找过一些,都会有问题,这个版本是亲自验证可用的。import javax.net.ssl.HostnameVerifier;import javax.net.ssl.SSLSession;import android.util.Log;public class NullHostNameVerifier implements ...
Android VideoView 无法播放https网络视频问题
X_sunmmer的博客
03-06 7388
最近项目里遇见一个奇葩问题,由于项目之前的服务器地址是http,然而最近又换成https的,本来从不安全的证书换成安全的证书一切应该ok,但重新打包运行却出现了新问题,(怀疑证书压根就是不安全的) 1 项目主体为,cordova+vue+crosswalk 我负责写原生插件,但自从换成https的服务器地址后 项目莫名的弹出 Ssl? 首先想到的是网络请求忽略不安全的证书问题,但回头想想 ...
关于视频URL 使用http 混合 https在安卓播放器中不能正常播放的问题BufferQueue has been abandoned MEDIA_ERROR_IJK_PLAYER = -100
知琦然的博客
03-25 564
如果您的应用程序请求明文HTTP流量(即,当网络安全配置不允许时,使用http://而不是https://)),则会发生此错误。如果你的应用目标是Android 9 (API级别28)或更高版本,明文HTTP流量将被默认配置禁用。如果你的应用程序需要使用明文HTTP通信,那么你需要使用一个允许它的网络安全配置。详情请参阅Android的网络安全文档。
SSL3、TLS1.0、TSL1.1、TLS1.2、TLS 1.3协议版本间的差异
SSL加密技术
11-20 3万+
下面主要为大家介绍SSL和TLS协议的各版本之间的差异。自SSL3以来,协议核心并没有大幅改变。TLS1.0为了迎合使用另一个名称进行了有限的改变,发布TLS1.1的首要目标是为了解决几个安全性问题。TLS1.2引了已验证加密,清理了散列,另外去掉了协议中的硬编码基元。TLS1.3是目前最新协议,有望成为有史以来最安全版本。 1、SSL3 SSL3于1995年末发布,为了弥补先前协议版本的诸多弱点,SSL3从头开始设计了一套协议,并一直沿用到了最新版本的TLS。 2、TLS1.0 TLS1.0于19
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值