环境
在Android手机上通过代理网关(例如移动的cmwap)访问一些HTTPS网站,例如Gmail等,有时会出现以下错误:“无法建立安全连接”- A secure connecction could not be established。
原因
这是一个隐藏得比较深的问题,原因是系统协议栈在建立SSL Socket时,缺省会调用SecurityManager去解析对端网站的host域名来做一些额外验证(似乎验证结果并不影响后续操作,这点还需进一步研究),这时候就会调用到系统的DNS服务。但在通过cmwap网关访问互联网时,一切请求都是通过代理服务器10.0.0.172完成,客户端是没有相应的DNS列表的。如果你的手机碰巧在这之前通过WiFi或是其它方式(如不需要代理的cmnet网关)访问过互联网,Linux协议栈里就会留有它们对应的DNS服务器列表,于是系统就傻乎乎的向这些DNS发起请求,其结果自然是超时失败了。尤其DNS还有重试机制,所以需要等几十秒之后才向HTTP层返回DNS失败。
这时候的HTTP层本来已经完成了 SSL 协议层的 Client Hello/Server Hello握手,已经可以继续往下进行HTTP数据交互了,但是由于以上原因,DNS的超时时间过长,很多服务器为了安全起见,如果发现客户端在SSL握手之后10秒甚至更短时间内没有数据交互的话,就将该SSL连接断开。
解决办法
简单的解决办法是:如果通过代理网关访问互联网,则不做DNS解析验证——这一步不是必须的。
问题很偏门,但解决的过程收益匪浅,赶紧记下来以防忘掉。相关文件:
HttpsConnection.java
OpenSSLSocketImpl.java