学徒浅析Android——Android7.0(N)对于自定义证书和非CA机构证书的适配校验

最新推荐文章于 2024-04-18 11:54:17 发布
最新推荐文章于 2024-04-18 11:54:17 发布
阅读量784 收藏
点赞数
分类专栏: http https 文章标签: android
原文链接:https://blog.csdn.net/lz8362/article/details/78289930
版权
http 同时被 2 个专栏收录
105 篇文章 5 订阅
订阅专栏
https
56 篇文章 1 订阅
订阅专栏

对于Android N之前自定义或非CA证书的使用,一般有两种方式:

                  1、自定义X509TurstManager和HostnameVerifier,替换原有的HttpsURLConnection中的校验类。自定义方法以烂大街的转载版为主。

                  2、在手机中安装证书。通过设置列表完成

    其实从2016年5月17日起,Google Play内容政策和开发者分发协议第 4.4条的相关规定中就指出将禁止发布X509TrustManager接口实施方式不安全的任何新应用或应用更新。传统的针对X509TurstManager和HostnameVerifier的修改不符合Google商店的发布要求。虽然我们在墙的庇护下,不用去google商店发布,但不可否认它确实是一种安全隐患,很容易遭受中间人攻击(MITM攻击)。

   因此,在Android N中,google在这证书认证一块调整了原来的校验策略。即默认配置不会信任用户添加的CA证书。同时提供网络安全性配置规范证书的使用。

根据官网的介绍(https://developer.android.google.cn/training/articles/security-config.html#manifest ),我们可以通过设置network_security_config.xml对非CA证书进行适配。

    鉴于官网的介绍缺少实例,在这里,我用12306网站的证书作为展示例子。

           1、创建一个网络安全性配置network_security_config.xml,用来声明证书校验方式。


    文件格式被设定为如下样子:

   <?xml version="1.0" encoding="utf-8"?>
   <network-security-config>
      <base-config>//应用范围的默认配置,只能配置一次。
        <trust-anchors>//信任锚,就是信任数据源。
            <certificates src="..."/>//证书。
            ...
        </trust-anchors>
      </base-config>
 
      <domain-config>//域名级配置,针对待访问的网站域名,可以存在对多个,同时要考虑子域名,尽可能的将域名罗列详细。
        <domain>android.com</domain>
        ...
        <trust-anchors>
            <certificates src="..."/>
            ...
        </trust-anchors>
        <pin-set>//证书公钥设置,用于证书固定,一般可以不用配置,除非确定证书长期有效。
            <pin digest="...">...</pin>
            ...
        </pin-set>
		...//如果域名之间存在父子关系,可以进行嵌套设置,同时对于证书的使用,可以用includeSubdomains对父域名设置,使证书具有继承属性。
      </domain-config>
      ...
      <debug-overrides>//DEBUG调试时采用的信任源,只在DEBUG时起作用。
        <trust-anchors>
            <certificates src="..."/>
            ...
        </trust-anchors>
      </debug-overrides>
    </network-security-config>

其中需要关注的是<certificates>,参数共有三种类型:

     1、system      设备中预装的系统证书

     2、user        用户自装证书

     3、resourceID  /raw文件下的证书

   官网上指出,Android N的变化实际是对<base-config>的参数做了改动,面向Android 6.0(API级别23)及更低版本的应用的默认配置
 

     <base-config cleartextTrafficPermitted="true">
         <trust-anchors>
            <certificates src="system" />
            <certificates src="user" />
         </trust-anchors>
     </base-config>

面向 Android 7.0(API级别24)及更高版本应用的默认配置

     <base-config cleartextTrafficPermitted="true">
         <trust-anchors>
            <certificates src="system" />
         </trust-anchors>
     </base-config>

也就是说,我们可以通过在应用中增加<certificates src="user" />,即可重新使用手机设备上的自装证书了。这一点该文作者已作出了证明(https://www.kalvin.cn/article/14);也可以通过域名<domain-config>指定证书的使用,但此时的证书只能配置在/raw中()

   最终结合12306网站域名特点,network_security_config.xml编辑如下:
 

        <network-security-config>
            <base-config  cleartextTrafficPermitted="true">
                <trust-anchors>
                    <certificates src="system"/>
                </trust-anchors>
            </base-config>
            <domain-config>
                //网站域名,利用属性includeSubdomains,将配置的trust-anchors可以向下作用。
                <domain includeSubdomains="true">www.12306.cn</domain>
                //自定义信任证书
                <trust-anchors>
                    //信任的自定义CA证书
                    <certificates src="@raw/srca" overridePins="true"/>
                </trust-anchors> 
                //cleartextTrafficPermitted属性不详,这里是参考官网添加的
                <domain-config cleartextTrafficPermitted="true">  
                   //子域名
                   <domain includeSubdomains="true">kyfw.12306.cn</domain>
                </domain-config>
            </domain-config>
         </network-security-config>

       

    2、将应用对应的自定义证书放置到/res/raw/中。官网中尤其强调证书的格式,必须是DER或PEM格式编码,12306使用的srca.cer是DER格式编码,符合要求。我没有试过PEM格式的,手里只有P12格式的,转格式后没有成功,干扰因素太多,希望有人试验成功后交流一下。

    3、在AndroidManifest.xml的<application>中声明network_security_config.xml

android:networkSecurityConfig="@xml/network_securiy_config"

4、此时就可以正常访问www.12306.cn了。 综上就是Android N的适配方案,官网给出了方案固然是好事,但是不如例子看起来直观,还需要大家一起摸索啊,关于证书校验的问题,希望和大家一起成长。

附加:

当然,目前Android N的市场占比并不多,针对更多的旧版系统,使用自定义的X509TrustManager更为便捷。但是还是希望大家不要忽略校验,毕竟我们也算做产品的,最起码要对自己的东西负责啊。同时贴出我采用的方法(部分参考了X509TurestManagerImpl),方法如下:

   public void checkServerTrusted(X509Certificate[] chain, String authType) throws CertificateException {
        //参数有效性校验
        if (chain == null || chain.length == 0 || authType == null || authType.length() == 0) {
            throw new CertificateException();
        }
        //证书有效性校验
        for(X509Certificate cert : chain){
            cert.checkValidity();
        }
	//证书完整性校验
	check(chain);
    }
 
    private static final int MIN_MODULUS = 1024;
    private static final String[] OID_BLACKLIST = {"1.2.840.113549.1.1.4"}; // MD5withRSA
 
    public static final void check(X509Certificate[] chain) throws CertificateException {
        for (X509Certificate cert : chain) {
            checkCert(cert);
        }
    }
 
    private static final void checkCert(X509Certificate cert) throws CertificateException {
        checkModulusLength(cert);
        checkNotMD5(cert);
    }
 
    private static final void checkModulusLength(X509Certificate cert) throws CertificateException {
        Object pubkey = cert.getPublicKey();
        if (pubkey instanceof RSAPublicKey) {
            int modulusLength = ((RSAPublicKey) pubkey).getModulus().bitLength();
            if (!(modulusLength >= MIN_MODULUS)) {
                throw new CertificateException("Modulus is < 1024 bits");
            }
        }
    }
 
    private static final void checkNotMD5(X509Certificate cert) throws CertificateException {
        String oid = cert.getSigAlgOID();
        for (String blacklisted : OID_BLACKLIST) {
            if (oid.equals(blacklisted)) {
                throw new CertificateException("Signature uses an insecure hash function");
            }
        }
    }
 
    //HostnameVerifier可以借用源码HttpsUrlConnection中NoPreloadHolder中默认设置的OKHostnameVerifier进行域名合法性校验。
    public boolean verify(String host, SSLSession session) {
        HostnameVerifier hv = HttpsURLConnection.getDefaultHostnameVerifier();
        return hv.verify(host, session);
    }


————————————————
版权声明:本文为CSDN博主「冷漠的学徒」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/lz8362/article/details/78289930

锐湃
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Android应用中使用自定义证书,CER转BKS
ktoy的博客
02-29 8631
转换方法参考:http://blog.csdn.net/raptor/article/details/18898937首先要下载特定版本的JCE Provider包 http://www.bouncycastle.org/download/bcprov-jdk15on-146.jar or http://pan.baidu.com/s/1c1ur13y 然后输入以下命令keytool -im
android 中自定义安装,安装Android定义证书
weixin_30704909的博客
05-25 609
0x00 背景工作上经常需要要mitm Android的通信(就是用burp什么的),需要在安卓上安装burp的证书。但是你会发现安卓7.0之后有了network-security-config这个选项,可以让app只信任系统证书,这样的话即使你安装了用户证书也无法进行mitm。0x01 解决方案所以我们需要把我们自己的root CA证书安装成系统证书(需要root),这个方法在很多网站上可以看到...
安卓7+手机添加charles系统证书方法
最新发布
Wu_3390的博客
04-18 812
将编辑好的证书上传到手机的/system/etc/security/cacerts目录下。注:需要手机有root权限,以下操作以小米为例,其他品牌手机操作可能有差别。安卓7.0以后,安卓不信任用户安装的证书,所以抓https时无法解码请求。将红框中的内容复制到xxxxxxxx.0的文件前面。以下xxxxxxx.0为上面计算的hash值。将导出的证书计算HASH值。
Android HTTPS 自制证书实现双向认证(OkHttp + Retrofit + Rxjava)
2401_84132617的博客
04-14 519
其实客户端开发的知识点就那么多,面试问来问去还是那么点东西。所以面试没有其他的诀窍,只看你对这些知识点准备的充分程度。so,出去面试时先看看自己复习到了哪个阶段就好。然而Android架构学习进阶是一条漫长而艰苦的道路,不能靠一时激情,更不是熬几天几夜就能学好的,必须养成平时努力学习的习惯。贵在坚持!《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!他的诀窍,只看你对这些知识点准备的充分程度。so,出去面试时先看看自己复习到了哪个阶段就好。
【测试方法】Android 7 及以上系统信任用户自定义证书
weixin_37124805的博客
02-07 3090
测试工作经常会启用代理服务来协助测试(用于抓包、mock 数据、埋点自动化测试等),而 Android 7 及以上系统版本不再信任用户自己导入的 CA 证书,导致无法在 Android 7 及以上系统的设备上处理 https 协议的请求。
android使用自定义证书的https连接
08-08
使用.bks格式的自定义证书的HTTPS连接方式,验证自定义证书。 参考博客http://blog.csdn.net/raptor/article/details/18898937
android+studio简单的计算器应用
03-22
Android Studio中创建一个简单的计算器应用是一个典型的移动开发任务,对于初学者来说是很好的实践项目。这个项目将涉及用户界面设计、事件监听以及基本的算术运算。下面我们将详细探讨这个过程中的关键知识点。 ...
android studio开发app项目一个待办事项列表应用
03-22
Android Studio中开发一个待办事项列表应用是一个典型的移动应用开发任务,这涉及到对Android操作系统的基本理解、Android Studio IDE的使用以及Java或Kotlin编程语言的掌握。下面将详细讲解这个过程中涉及的关键...
一个简单的 Android 开发项目示例:一个简单的笔记应用
03-17
Android开发领域,创建一个简单的笔记应用是初学者常见的练习,它可以帮助开发者理解基本的UI设计、数据存储以及用户交互。下面将详细讲解这个项目涉及的关键知识点。 首先,Android应用程序通常由多个组件构成,...
软件开发者路线——从学徒到高手
07-25
高清软件开发路线——从学徒到高手,里面详细给程序员说了如何成为一个高手
ProjetDL_Audoin_Mondon:IACentraleSupélec的Projet最终学徒证书
02-14
ProjetDL_Audoin_Mondon Projet Final du Cours d'Apprentissage Profond de la提及IACentraleSupélecPar Loic Audoin和Quentin Mondon
Android应用中使用自定义证书的HTTPS连接
brucexu1978的专栏
03-24 1868
http://blog.csdn.net/raptor/article/details/18896375
Android7.0 网络安全置、自定义okhttp证书 ——解决HTTPs 抓包问题
薛瑄的博客
05-24 3286
工具类 下面是工具类,只需要传入OkHttpClient.Builder对象,在使用中传入this 和自定义证书的路径(assets 资源下面的路径) /** * @Author: xuexuan: 2019年5月24日19:49:10 * @Description:设置okhttp 自定义证书 */ fun OkHttpClient.Builder.sslSocketFactory(b...
信任用户证书(CA),实现Android7及以上HTTPS抓包
一碗单炒饭的专栏
09-18 8542
信任用户CA,实现Android7及以上HTTPS抓包 Android7以后,系统不再信任用户级的证书,只信任系统级的证书,所以我们要让APP信任用户自己的证书。 注:需要源码,或者反编译 没有源码的看这里: 给Android7及以上的手机安装系统级证书,实现Fiddler或者其他程序的HTTPS的抓包 目录信任用户CA,实现Android7及以上HTTPS抓包准备用户证书授权1. 网络安全置2. 信任用户CA3. 置仅于调试的CA参考 准备 APP源码 手机 用户证书授权 1. 网络安全
Android 7(N)网络安全
Weven-blog
07-18 5734
Android N 包含一个网络安全置特性,让应用可以在一个安全的声明性置文件中自定义其网络安全设置,而无需修改应用代码。 可以针对特定域和特定应用置这些设置。 该特性的主要功能如下所示: 自定义信任锚:针对应用的安全连接自定义哪些证书颁发机构 (CA) 值得信赖。 例如,信任特定的自签署证书或限制应用信任的公共 CA 集。 仅调试重写:在应用中以安全方式调试安全连接,而不会增加安装基数的风险。 Cleartext traffic 选择退出:防止应用意外使用 cleartext traffic。 证
Android 项目网络安全置知识记录
m0_71746416的博客
01-09 653
AndroidAndroid 9(Pie)之后将网络通信默认置为禁止了明文传输
NetworkSecurityConfig放开http请求
小点滴
02-17 4035
前言: 由于Android P系统的设备 ,限制了加密的文明流量的http(https没事)网络请求,导致该应用无法进行http协议的网络请求。 解决方案 在res目录下创建xml目录,然后随便创建一个.xml文件 <?xml version="1.0" encoding="utf-8"?> <network-security-config> <base-config cleartextTrafficPermitted="true" /> </ne
android线上包禁止抓取https包
lzq520210的博客
07-28 567
<network-security-config> <base-config cleartextTrafficPermitted="true"/> <!-- Trust user added CAs while debuggable only --> <debug-overrides> <trust-anchors> <!--信任用户安装的证书--> .
版本7.0.0.24 没有找xshell7.ini和xshell.ini
06-02
Xshell 7.0.0.24 的置文件存储位置与之前版本可能有所不同,你可以尝试在以下位置查找: 1. C:\Users\你的用户名\AppData\Roaming\NetSarang\Xshell\7.0\ 2. C:\Users\你的用户名\Documents\NetSarang\Xshell\7.0\ 如果在这两个位置都没有找到置文件,你可以在 Xshell 菜单栏中选择“工具”-“选项”-“常规”,在“置文件”选项中查看置文件的存储位置。如果仍然无法找到,请检查你的 Xshell 版本是否与所提供的版本号一致。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值