读OkHttp3源码(二):CertificatePinner(锁定证书)

最新推荐文章于 2023-04-06 21:23:09 发布
最新推荐文章于 2023-04-06 21:23:09 发布
阅读量7.4k 收藏 8
点赞数 2
分类专栏: OkHttp 文章标签: OkHttp OkHttp3 Android CertificatePinner
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/challenge51all/article/details/82909965
版权

okhttp3
public final class CertificatePinner extends Object

类介绍:

该类用于约束哪些证书是可信的。 锁定证书可以防止对证书颁发机构相关的攻击。 它还阻止通过用户已知或未知的中间证书颁发机构建立的连接。 这个类目前锁定了一个证书的主题公钥信息,如Adam Langley的博客所述。公钥不是HTTP公钥锁定(HPKP)中的base64 SHA-256哈希,就是Chromium静态证书中的SHA-1 base64哈希。 HTTP Public Key Pinning (HPKP)  Chromium静态证书 。
1.设置固定证书:
理解锁定主机最简单的方法是打开错误配置的锁定,并在连接失败时读取预期配置。 一定要在可信的网络上完成,不要使用像Charles或Fiddler这样的中间工具。 例如,要锁定https://publicobject.com,请从一个错误的配置开始

String hostname = "publicobject.com";
     CertificatePinner certificatePinner = new CertificatePinner.Builder()
         .add(hostname, "sha256/AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA=")
         .build();
     OkHttpClient client = new OkHttpClient();
     client.setCertificatePinner(certificatePinner);

     Request request = new Request.Builder()
         .url("https://" + hostname)
         .build();
     client.newCall(request).execute();

正如预期的那样,以一个证书锁定异常而失败了:

javax.net.ssl.SSLPeerUnverifiedException: Certificate pinning failure!
   Peer certificate chain:
     sha256/afwiKY3RxoMmLkuRW1l7QsPZTJPwDS2pdDROQjXw8ig=: CN=publicobject.com, OU=PositiveSSL
     sha256/klO23nT2ehFDXCfx3eHTDRESMz3asj1muO+4aIdjiuY=: CN=COMODO RSA Secure Server CA
     sha256/grX4Ta9HpZx6tSHkmCrvpApTQGo67CYDnvprLg5yRME=: CN=COMODO RSA Certification Authority
     sha256/lCppFqbkrlJ3EcVFAkeip0+44VaoJUymbnOaEUk7tEU=: CN=AddTrust External CA Root
   Pinned certificates for publicobject.com:
     sha256/AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA=
   at okhttp3.CertificatePinner.check(CertificatePinner.java)
   at okhttp3.Connection.upgradeToTls(Connection.java)
   at okhttp3.Connection.connect(Connection.java)
   at okhttp3.Connection.connectAndSetOwner(Connection.java)

接下来,将异常中的公钥散列粘贴到证书pinner的配置中

CertificatePinner certificatePinner = new CertificatePinner.Builder()
       .add("publicobject.com", "sha256/afwiKY3RxoMmLkuRW1l7QsPZTJPwDS2pdDROQjXw8ig=")
       .add("publicobject.com", "sha256/klO23nT2ehFDXCfx3eHTDRESMz3asj1muO+4aIdjiuY=")
       .add("publicobject.com", "sha256/grX4Ta9HpZx6tSHkmCrvpApTQGo67CYDnvprLg5yRME=")
       .add("publicobject.com", "sha256/lCppFqbkrlJ3EcVFAkeip0+44VaoJUymbnOaEUk7tEU=")
       .build();

Pinning是每个主机名和/或每个通配符模式。要同时使用publicobject.com和www.publicobject.com,必须配置这两个主机名。

2.通配符模式规则:

  • 星号*只允许出现在最左边的域名标签中,并且必须是该标签(即,必须匹配整个最左边的标签)。例如,允许*.example.com,而*a.example.com, a*.example.com, a b.example.com, a.*.example.com不允许。
  • 星号@{code *}不能跨域名标签匹配。例如,*.example.com匹配test.example.com,但不匹配sub.test.example.com。
  • 不允许为单标签域名使用通配符模式。
  • 如果主机名直接或通过通配符模式锁定,将使用直接或通配符固定。 例如:*.example.com用pin1pin1固定,a.example.com用pin2固定,检查a.example.com将使用pin1和pin2

3.警告: 证书锁定是危险的!

锁定证书限制了服务器团队更新TLS证书的能力。通过锁定证书,可以增加操作复杂性,并限制在证书颁发机构之间迁移的能力。如果没有服务器的TLS管理员的许可,不要使用证书固定!

成员变量:

1.private final List<Pin> pins;

Pin是CertificatePinner的静态内部类。直接上源码:

static final class Pin {
        /**
         * 主机名,如example.com或如*.example.com的一种形式。
         */
        final String pattern;
        /**
         * 或者sha1/或者sha256/.
         */
        final String hashAlgorithm;
        /**
         * 使用{@link #hashAlgorithm}的固定证书的哈希。
         */
        fi
最低0.47元/天 解锁文章
challenge51all
关注
  • 2
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Android Okhttp3添加https自签名证书以及Glide4
m0_75279794的博客
03-30 1122
针对Android程序员,我这边给大家整理了一些资料,包括不限于高级UI、性能优化、架构师课程、NDK、混合式开发(ReactNative+Weex)微信小程序、Flutter等全方面的Android进阶实践技术;希望能帮助到大家,也节省大家在网上搜索资料的时间来学习,也可以分享动态给身边好友一起学习!往期Android高级架构资料、源码、笔记、视频。高级UI、性能优化、架构师课程、混合式开发(ReactNative+Weex)全方面的Android进阶实践技术,群内还有技术大牛一起讨论交流解决问题。
certificatepinner:与NSUrlSession和NSUrlConnection一起使用的证书固定的Swift实现
05-17
证书拼版 与NSURLSession和NSURLConnection一起使用的证书固定的Swift实现 。 2017年1月9日:针对Swift 3.0进行了更新。 如果您想使用 2018-07-25:已针对Swift 4.0更新。 如果您想使用 如果您不使用或 ,则证书固定会非常困难,因为iOS不会公开任何API来获取证书信息。 正常的解决方案是引入一些openssl,但是说实话,那就过分了。 因此,这个图书馆。 哦,如果有人这样做,它将为我们(我)节省多少时间。 关于固定内容的注意事项 查看GitHub证书信息-单击锁。 您应该看到三个(或更多)证书级别。 github.com-这是“其”证书或叶子证书 DigiCert SHA2扩展验证服务器CA-这是证书颁发机构的叶节点 DigiCert High Assurance EV Root CA-这是根证书,它也位于您的浏览器受信
证书锁定Certificate Pinning技术
03-03 821
证书锁定Certificate Pinning技术 在中间人攻击中,攻击主机通常截断客户端和服务器的加密通信。攻击机以自己的证书替代服务器发给客户端的证书。通常,客户端不会验证该证书,直接接受该证...
学习okhttp wiki--HTTPS
weixin_30411997的博客
11-17 155
HTTPS   OkHttp尝试平衡两个相互竞争的要素: 连通性(Connectivity):连接到尽可能多的服务器。这包括运行最新版本 boringssl 的服务器和不太过时的老版本 OpenSSL 的服务器。 连接的安全性(Security):这包括远程web服务器证书验证,和对私密数据交换的强加密。   在与HTTPS服务器协商一个连接时,OkHttp需要知道提供哪种TLS版本(TLS ...
HTTPS ConnectionSpec CertificatePinner
自由空间
02-23 891
OkHttp尝试平衡两个相互竞争的要素:连通性(Connectivity):连接到尽可能多的服务器。这包括运行最新版本 boringssl 的服务器和不太过时的老版本 OpenSSL 的服务器。连接的安全性(Security):这包括远程web服务器证书验证,和对私密数据交换的强加密。  在与HTTPS服务器协商一个连接时,OkHttp需要知道提供哪种TLS版本(TLS versions)和密码套件
android okhttp 证书,证书固定不能在Android上使用OkHttp
weixin_29958797的博客
05-28 295
使用com.squareup.okhttpokhttp:2.4.0 with com.squareup.retrofit:retrofit:1.9.0在Android应用程序,尝试通过HTTPS与使用自签名证书的HTTPS上的服务器REST API进行通信.服务器密钥库具有私钥和2个证书,服务器和根证书. openssl s_client输出 –Certificate chain0 s:/C=....
OKhttp3源码
08-18
**OKhttp3源码分析** OKhttp3是目前广泛使用的HTTP客户端库,它以其高效、易用和灵活性著称。其源码分析可以帮助我们深入理解网络请求的工作原理,优化网络性能,以及定制化需求。本篇文章将围绕OKhttp3的核心组件...
OkHttp3源码解析(添加了详细注释)
07-31
**OkHttp3源码解析** OkHttp3Android平台上的一个高效、易用的网络通信库,由Square公司开发。它的出现解决了Android原生HttpURLConnection的性能问题,提供了更强大的功能和更好的网络请求管理。本解析主要围绕...
okhttp3源码运行
12-10
《深入剖析OkHttp3源码运行机制》 OkHttp3Android平台上广泛使用的网络通信库,它以其高效、稳定和易用性深受开发者喜爱。在本文中,我们将深入探讨OkHttp3源码,理解其背后的运行机制,帮助开发者更好地理解和...
okhttp3工具.rar
06-13
这个“okhttp3工具.rar”压缩包包含了OkHttp3的版本3.11,Okio的版本1.14以及Gson工具,这些都是在Android或Java应用程序中进行网络通信和数据序列化时常用的库。 1. **OkHttp3**: - OkHttp3OkHttp的第三个主要...
CA Certificate
01-09
Security in Networked Computed System OpenSSL Lab Session#6 Certificate Management
okhttp-digest:okhttp的摘要身份验证器
05-04
okhttp-digest okhttp的摘要身份验证器。 大多数代码是从Apache Http Client移植的。重要的该工件已从jcenter转移到了Maven Central! 坐标已从com.burgstaller:okhttp-digest:<version>到io.github.rburgst:okhttp-...
okhttp-3.14.9-API文档-中英对照版.zip
05-04
Maven坐标:com.squareup.okhttp3:okhttp:3.14.9; 标签:squareup、okhttp3okhttp、jar包、java、中英对照文档; 使用方法:解压翻译后的API文档,用浏览器打开“index.html”文件,即可纵览文档内容。 人性化...
okhttp3 jar包
08-17
当网络出现问题的时候OkHttp依然坚守自己的职责,它会自动恢复一般的连接问题,如果你的服务有多个IP地址,当第一个IP请求失败时,OkHttp会交替尝试你配置的其他IP,OkHttp使用现代TLS技术(SNI, ALPN)初始化新的连接
Android okhttp3.0忽略https证书的方法
08-28
OkHttp 3.0 忽略 HTTPS 证书的方法 在 OkHttp 3.0 中,我们可以通过自定义的 SSLSocketFactory 和 HostnameVerifier 来忽略 HTTPS 证书。下面是具体的实现方法: 1. 创建一个 SSLSocketClient 类,用于获取 ...
Okhttp证书封装
liu461211527的博客
10-30 1485
package com.liu.asus.aaaa; import android.graphics.Bitmap; import android.util.Log; import java.io.File; import java.io.FileNotFoundException; import java.io.FileOutputStream; import java.io.IOExcep
android okhttpclient 证书锁定
zhifanxu的专栏
04-06 739
我们需要将APP代码内置仅接受指定域名的证书,而不接受操作系统或浏览器内置的CA根证书对应的任何证书,通过这种授权方式,保障了APP与服务端通信的唯一性和安全性,因此我们移动端APP与服务端(例如API网关)之间的通信是可以保证绝对安全。公钥锁定则是提取证书中的公钥并内置到移动端APP中,通过与服务器对比公钥值来验证连接的合法性,我们在制作证书密钥时,公钥在证书的续期前后都可以保持不变(即密钥对不变),所以可以避免证书有效期问题。
Certificate Pinning是如何工作的?
pcsxk的专栏
11-13 4517
Certificate Pinning是什么,有什么用? Certificate Pinning,或者有叫作SSL Pinning/TLS Pinning的,都是指的同一个东西,中文翻译成证书锁定,最大的作用就是用来抵御针对CA的攻击。在实际当中,它一般被用来阻止man-in-the-middle(中间人攻击)。 说起中间人攻击,可能不是那么直观,但是这一类工具我们可能经常会用到,如Mac平台的C...
implementation 'com.squareup.okhttp3:okhttp:4.9.0' 报错
最新发布
06-07
如果你在添加 `implementation 'com.squareup.okhttp3:okhttp:4.9.0'` 时遇到了错误,可以尝试以下方法: 1. 检查你的网络连接是否正常,确保你能够访问到 Maven 仓库。 2. 检查你的项目的 build.gradle 文件中是否有正确的仓库地址,例如: ``` repositories { google() jcenter() } ``` 3. 尝试清除并重新构建你的项目,可以通过点击菜单栏中的 Build -> Clean Project 和 Build -> Rebuild Project 进行操作。 4. 如果你使用的是 Kotlin 项目,可以尝试在 build.gradle 文件中添加 Kotlin 相关依赖: ``` implementation "org.jetbrains.kotlin:kotlin-stdlib-jdk7:$kotlin_version" implementation "org.jetbrains.kotlin:kotlin-stdlib-jdk8:$kotlin_version" ``` 如果你仍然遇到问题,可以提供更多错误信息,以便我们更好地帮助你解决问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值