android对https的证书验证(SSL证书)

最新推荐文章于 2024-04-06 15:18:32 发布
最新推荐文章于 2024-04-06 15:18:32 发布
阅读量2.7k 收藏 7
点赞数 1
分类专栏: android

1. 背景与需求

近期在做IP切换的HTTPS访问时,遇到了一些问题:客户端如何进行HTTPS的证书验证。
其实对于一般的项目基本都是做的单向验证,即在客户端证书或者HOST的验证;对于金融、银行相关的项目才会使用的双向验证,客户端与服务端之间都要对彼此进行验证,以防止中间人进行攻击。

2.实现目标

本文记录的是:客户端实现对HOST的验证,这样基本满足一般项目的需求,也不需要客户端内置证书,引起更新时候的麻烦。

3. 实现过程

  • 实现SSLSocketFactory ,获取SSLContext
    我们这里没有本地的证书,所以都是生成TrustManager 时都是空实现,如果需要通过内置证书来验证可以柴查看下面的链接。
public class SSLSocketFactoryImp extends SSLSocketFactory {
    private SSLContext sslContext = SSLContext.getInstance("TLS");
    private TrustManager trustManager = null;


    public SSLContext getSSLContext() {
        return sslContext;
    }

    public X509TrustManager getTrustManager() {
        return (X509TrustManager)trustManager;
    }

    public SSLSocketFactoryImp(KeyStore keyStore) throws NoSuchAlgorithmException, KeyManagementException {
        trustManager = new X509TrustManager() {
            @Override
            public void checkClientTrusted(X509Certificate[] x509Certificates, String s) throws CertificateException {

            }

            @Override
            public void checkServerTrusted(X509Certificate[] x509Certificates, String s) throws CertificateException {

            }

            @Override
            public X509Certificate[] getAcceptedIssuers() {
                X509Certificate[] x509Certificates = new X509Certificate[0];
                return x509Certificates;
            }
        };

        sslContext.init(null, new TrustManager[]{trustManager}, null);
    }

    @Override
    public String[] getDefaultCipherSuites() {
        return new String[0];
    }

    @Override
    public String[] getSupportedCipherSuites() {
        return new String[0];
    }

    @Override
    public Socket createSocket() throws IOException {
        return sslContext.getSocketFactory().createSocket();
    }

    @Override
    public Socket createSocket(Socket socket, String host, int post, boolean autoClose) throws IOException {
        return sslContext.getSocketFactory().createSocket(socket, host, post, autoClose);
    }

    @Override
    public Socket createSocket(String s, int i) throws IOException, UnknownHostException {
        return null;
    }

    @Override
    public Socket createSocket(String s, int i, InetAddress inetAddress, int i1) throws IOException, UnknownHostException {
        return null;
    }

    @Override
    public Socket createSocket(InetAddress inetAddress, int i) throws IOException {
        return null;
    }

    @Override
    public Socket createSocket(InetAddress inetAddress, int i, InetAddress inetAddress1, int i1) throws IOException {
        return null;
    }
}
  • 关键步骤:验证HOST
    这里是基于OKHTTP来进行的验证操作,主要依靠:HttpsURLConnection.getDefaultHostnameVerifier().verify("你的域名", session)方法来验证域名是否一致
KeyStore trustStore;
trustStore = KeyStore.getInstance(KeyStore.getDefaultType());
trustStore.load(null, null);
SSLSocketFactoryImp ssl = new SSLSocketFactoryImp(KeyStore.getInstance(KeyStore.getDefaultType()));

            HostnameVerifier hostnameVerifier = new HostnameVerifier() {
                @Override
                public boolean verify(String hostname, SSLSession session) {
                    boolean verify = HttpsURLConnection.getDefaultHostnameVerifier().verify("你的域名", session);
                    return verify;
                }
            };

builder.sslSocketFactory(ssl.getSSLContext().getSocketFactory(), ssl.getTrustManager()).hostnameVerifier
                    (hostnameVerifier);

4.一定要阅读的文章

上面只是简单的记录验证HOST的方式,下面的文章会让你收获更多。
1. 阿里移动安全:Android安全开发之安全使用HTTPS

2. 浅析HTTPS中间人攻击与证书校验

3. Android官方培训课程 : 使用HTTPS与SSL


链接:https://www.jianshu.com/p/d7e247749071
 

WalterSECREAT
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Android实现ssl双向验证
albb_的博客
05-28 5095
Android实现双向验证 前言 Android端实现双向认证的难点主要在于Android接受的证书格式是BKS,而一般提供的证书不包含此格式,需要手动转换 转换之后如果请求不了,表现为握手失败(Handshake failed),则一般是证书转换错误 网上有一大堆转换方法,有的虽能正常生成BKS证书,但还是导致握手失败,推测应该还是转换方式有误 在这里提供一种自...
Android中进行https请求信任证书问题(效率解决,小白适用)
qq_43599929的博客
06-22 537
加粗样式 基于Okhttpclient信任https所有证书 举个例子 //初始化OkHttpClient对象时进行信任证书的操作 OkHttpClient.Builder mBuilder = new OkHttpClient.Builder(); mBuilder.sslSocketFactory(TrustAllCerts.createSSLSocketFactory()); mBuilder.hostnameVerifier(new TrustAllCerts.TrustAllHostnameVer
【胖虎的逆向之路】Android自制Https证书实现双向认证(1)
最新发布
m0_61044466的博客
04-06 821
这里的公钥服务端的公钥,这里的签名是指:用hash散列函数计算公开的明文信息的信息摘要,然后采用 CA 的私钥对信息摘要进行加密,加密完的密文就是签名。Hyper Text Transfer Protocol ,超文本传输协议, 是互联网使用最广泛的一种协议,所有的WWW文件必须遵循的标准,Http协议传输的数据都是未加密的,也就是明文,因此使用Http传输敏感协议是不安全的。SSL 服务器允许客户的浏览器使用标准的公钥加密技术和一些可靠的认证中心(CA)的证书,来确认服务器的合法性~
Android实现SSL Socket双向认证
走马川行雪的博客
01-04 4857
1、生成服务端密钥 2、生成服务端证书 3、生成客户端密钥 4、生成客户端证书 5、将server端证书添加到serverTrust_ks.jks文件中 6、将client端证书添加到clientTrust_ks.jks文件中 (以上生成过程详见:https://blog.csdn.net/weixin_43192102/article/details/122214603) 7、将jks密钥转换为bks格式密钥(因为Android只支持.bks格式的密钥文件) ...
Android证书有效性验证方案
我的专栏
09-30 3201
SSL劫持攻击: 目前虽然很多Android APP使用了https通信方式,但是只是简单的调用而已,并未对SSL证书有效性做验证。在攻击者看来,这种漏洞让https形同虚设,可以轻易获取手机用户的明文通信信息,攻击示意图如下:
android 证书 信任 设置_Charles-Https-Android,代理设置抓包
weixin_39907157的博客
02-03 4189
日常语录:所有事到最后都会是好事。如果还不是,那它就还没到最后。(Everything will be okay in the end. If it‘s not okay,it's not the end.)背景: Android手机,通过Charles抓取Https的接口,如何成功地连接且正常抓取到呢~一、Android手机和电脑同一个网络下;二、打开Charles,手机端设置好代理(即电脑ip...
ssl证书验证绕过抓包
qq_63980959的博客
02-26 1197
在实际环境中,可能会遇到抓不到包的情况,有可能是因为app有双向ssl证书验证机制,导致无法抓包,那么便需要一些操作来绕过该验证机制。
android ssl证书验证
11-15
当客户端(如Android应用)与服务器建立HTTPS连接时,服务器会发送其SSL证书,客户端会验证这个证书的有效性。 在Android中,SSL证书验证主要涉及到以下几个方面: 1. **默认的信任管理器**:Android系统内置了一...
Android APP之WebView校验SSL证书的方法
08-29
SSL证书校验是指Android APP中的WebView组件在访问HTTPS站点时,如何验证服务器提供的SSL证书,以确保数据的安全性和机密性。 在Android系统中,WebView组件可能会因为各种原因而无法访问HTTPS站点,例如手机日期不...
Android okhttp3.0忽略https证书的方法
08-28
Android OkHttp 3.0 忽略 HTTPS 证书的方法 一、HTTPS 证书简介 HTTPS 证书是用于确保网络通信安全的一种数字证书。它可以验证服务器的身份,确保客户端和服务器之间的通信安全。 HTTPS 证书可以分为两种:一种是...
Android SSL证书验证原理
08-25
Android SSL验证原理
Android双向SSL例子
05-05
含bcprov-jdk15on-146.jar的简单Android实现双向SSL验证的小例子,服务端是java小程序,客户端是Android
Android中使用Webview SSL 自签名CA证书安全校验方案
jsxin0816的博客
11-18 2649
Android中使用Webview SSL 自签名证书校验
Android中使用https(HTTP+SSL)访问服务器
lambert_Lei的专栏
05-15 4172
之前做网络请求一直都是用Http请求来和服务器交互,一直听说过Https不过一直没用过,所以今天决定好好研究一下,一把鼻涕一把泪啊,结果发现……….哎,不说了,说多了都是泪;这里记录一下android怎么使用https和服务器互交。 HTTPS(全称:Hyper Text Transfer Protocol over Secure Socket Layer),是以安全为目标的HTTP通道,简单讲是H
Android】OkHttp3网络请求SSL证书验证问题绕过解决方案(包括Android 10及以上适配)
BigUncle
11-19 8305
随着SSL越来越普及,目前很多项目后台接口逐渐由过去的IP+PORT转变成了域名+SSL证书,尤其项目设计微信系类、银行类等等,对于这方便都是最基础的强硬要求条件。
AndroidHttps通信实现_忽略证书校验
renzhongrui的博客
12-26 5703
客户端与服务端单向认证即是在客户端的网络请求和webview中设置信任所有证书,然后在与服务端进行Https网络通信的时候 概览 TrustManager和HostnameVerifier HttpURLConnection信任所有证书 OkHttp信任所有证书 webview信任所有证书 TrustManager和HostnameVerifier ...
android https证书链,https 证书链不完整导致安卓打不开的解决办法
weixin_42502016的博客
05-27 1153
起因在给一客户部署 https 证书后客户反馈手机在安卓上无法打开,刚开始以为是服务器问题,但是在 chrome 和 iPhone 上均表现良好,于是翻出安卓机一看,果然有问题,弹出了如下界面:原来是证书链的问题,那就好办了证书链每个设备中都会存有一些默认的可信的根证书,但很多CA是不使用根证书进行签名的,而是使用中间层证书进行签名,但是如果我们的服务器上没有中间件证书,而客户端的浏览器里只有CA...
android 服务器证书校验,Android SSL 验证服务器证书 Hostname 不匹配错误。
weixin_33308985的博客
05-26 1479
使用HttpsURLConnection进行https访问的时候,当验证服务器证书的时候,有时候会报下面的错误。12-24 16:37:04.801: W/System.err(26380): java.io.IOException: Hostname '74.208.145.100' was not verified12-24 16:37:04.801: W/System.err(26380...
Android使用okhttp进行自制证书的双向SSL验证
qq_17441227的博客
03-04 686
Android使用okhttp进行自制证书的双向SSL验证 原创 z879381359 最后发布于2019-06-04 17:16:24 阅读数 569 收藏 展开 由于互联网全面普及,未来网络安全这块的发展空间很大的。随着物联网的不断应用,人们的生活和网络已经密不可分,网络上承载着数以亿计的各种信息,这些数据信息是个人、企业甚至是国家的战略性资源,所以保障他们的安全是一件非常重要的事情。...
android 加载https 可以跳过 ssl 证书
06-06
Android 中,可以通过实现自定义的 `TrustManager` 和 `HostnameVerifier` 来跳过 SSL 证书验证。但是这并不推荐,因为这会降低应用程序的安全性,容易受到中间人攻击。 如果您非常确定要跳过证书验证,可以按照以下步骤操作: 1. 创建一个自定义的 `TrustManager`,它将信任所有的 SSL 证书: ``` private TrustManager[] trustAllCerts = new TrustManager[] { new X509TrustManager() { public void checkClientTrusted(X509Certificate[] chain, String authType) {} public void checkServerTrusted(X509Certificate[] chain, String authType) {} public X509Certificate[] getAcceptedIssuers() { return new X509Certificate[0]; } } }; ``` 2. 创建一个自定义的 `SSLSocketFactory`,它使用上一步中创建的 `TrustManager`: ``` private SSLSocketFactory getSSLSocketFactory() { try { SSLContext sslContext = SSLContext.getInstance("TLS"); sslContext.init(null, trustAllCerts, new SecureRandom()); return sslContext.getSocketFactory(); } catch (Exception e) { Log.e(TAG, "Failed to create SSL socket factory", e); return null; } } ``` 3. 在您的 HTTP 客户端中使用上一步中创建的 `SSLSocketFactory`: ``` OkHttpClient client = new OkHttpClient.Builder() .sslSocketFactory(getSSLSocketFactory()) .hostnameVerifier(new HostnameVerifier() { @Override public boolean verify(String hostname, SSLSession session) { return true; } }) .build(); ``` 尽管这个方法可以跳过 SSL 证书验证,但是不建议在生产环境中使用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值