javax.net.ssl.SSLHandshakeException: java.security.cert.CertPathValidatorException: 情况分析和客户端解决方法

一个设备,大半年没使用,今天打开的某个应用的时候突然不能正常使用了,界面空表,通过调试工具可以看到接口没有请求通,一直返回的是:javax.net.ssl.SSLHandshakeException: java.security.cert.CertPathValidatorException: Trust anchor for certification path not found..

起初以为是服务器的证书问题,但是postman 同样的接口请求是可以正常调取的,还有一个其他设备也可以正常运行,这个是什么问题呢

当你在 Postman 中能够成功请求接口并获取数据，但在 Android 设备上的应用程序中请求同一个接口时遇到 javax.net.ssl.SSLHandshakeException 或类似的错误，这通常是由于几个不同的原因造成的。以下是一些可能的原因和解决方案：

1. SSL 证书问题：
   • Android 设备可能不信任服务器的 SSL 证书。这可能是因为证书是自签名的，或者证书链不完整。
   • 解决方案：确保服务器使用由受信任的证书颁发机构（CA）签发的证书，并在 Android 应用程序中处理证书链。对于自签名证书，你可能需要在应用程序中显式信任它。
2. TLS 版本：
   • 服务器可能只支持较新的 TLS 版本（如 TLS 1.2 或 TLS 1.3），而 Android 设备或应用程序可能默认使用较旧的版本。
   • 解决方案：在 Android 应用程序中指定要使用的 TLS 版本。这通常通过在创建 SSL 套接字工厂时配置 SSLContext 来完成。
3. 密码套件（Cipher Suites）：
   • 服务器和客户端之间可能不支持相同的密码套件。
   • 解决方案：检查服务器和 Android 客户端支持的密码套件，并尝试在客户端上配置一个与服务器兼容的密码套件。
4. 网络配置：
   • Android 设备可能处于特定的网络环境中（如企业网络、VPN 或代理服务器），这些环境可能阻止或修改 SSL 流量。
   • 解决方案：确保 Android 设备可以访问服务器，并检查是否有任何网络策略或设备设置阻止 SSL 通信。
5. Android 应用程序配置：
   • Android 应用程序可能没有正确配置网络请求，例如未设置适当的超时、未处理重定向等。
   • 解决方案：检查 Android 应用程序的网络请求代码，确保它正确配置了所有必要的参数，并处理所有可能的异常情况。
6. Android 版本：
   • 旧版 Android 设备可能不支持较新的 SSL/TLS 功能。
   • 解决方案：考虑目标 Android 设备的最低版本，并确保你的应用程序与该版本兼容。如果可能的话，更新目标 Android 版本以利用最新的 SSL/TLS 功能。
7. 调试和日志记录：
   • 启用详细的网络调试和日志记录，以便在 Android 设备上捕获更多关于 SSL 握手失败的信息。
   • 解决方案：使用 Android Studio 的日志工具（如 Logcat）来捕获和分析与 SSL 握手相关的日志条目。
8. 第三方库：
   • 如果你在 Android 应用程序中使用了第三方网络库（如 OkHttp、Retrofit 等），请确保它们已正确配置，并且与你的 SSL 需求兼容。
9. 时间同步：
   • 如果 Android 设备的时间设置不正确，SSL 握手可能会失败，因为证书验证依赖于时间戳。
   • 解决方案：确保 Android 设备的时间设置正确，并与网络时间同步。
10. 服务器配置：
    • 服务器可能限制了来自 Android 设备的请求，例如基于 IP 地址、用户代理或其他请求头。
    • 解决方案：检查服务器配置，确保它允许来自 Android 设备的请求，并考虑调整任何相关的限制或策略。

这个应该不是服务器端的证书问题,对比不同android 设备获取的情况,可以发现那些有问题的都是一些老的android设备,版本比较低,所以这个和第6点的情况分析很相似,实际情况也是如此;

当在Android系统的低版本上遇到javax.net.ssl.SSLHandshakeException: java.security.cert.CertPathValidatorException: Trust anchor for certification path not found错误，而在高版本上不会出现时，这通常是由于以下几个原因造成的：

1. 根证书列表不同：Android系统随着版本的更新，会更新其内置的受信任根证书列表。如果服务器的SSL/TLS证书链中的根证书是在较新的Android版本中才加入的，那么低版本的系统就会因为找不到对应的信任锚（Trust Anchor）而验证失败。

2. 中间证书问题：在某些情况下，服务器可能配置了额外的中间证书。如果低版本的Android系统没有正确处理这些中间证书，或者中间证书链不完整，那么验证也会失败。

3. TLS版本支持：不同的Android版本可能支持不同的TLS版本。如果服务器只支持较新的TLS版本（如TLS 1.2或TLS 1.3），而低版本的Android系统不支持这些版本，那么就会出现连接问题。

4. 加密算法支持：类似于TLS版本支持，Android的不同版本也可能支持不同的加密算法。如果服务器使用了低版本Android不支持的加密算法，那么连接也会失败。

5. 默认配置差异：Android系统的不同版本在SSL/TLS的默认配置上可能存在差异。这些差异可能导致低版本系统无法正确处理某些证书或连接请求。

为了解决这个问题，你可以尝试以下方法：

• 更新服务器配置：确保服务器配置了正确的证书链，并且支持低版本Android系统所支持的TLS版本和加密算法。

• 更新Android系统：如果可能的话，鼓励用户更新他们的Android系统到最新版本，以获得更好的兼容性和安全性。

• 使用第三方库：在Android应用中集成如OkHttp或Retrofit等第三方网络库，这些库通常提供了更灵活和强大的SSL/TLS配置选项，可以更好地处理不同Android版本之间的兼容性问题。

• 自定义信任管理器：如果你控制Android应用，并且出于某种原因需要连接到使用不受信任的证书的服务器，你可以实现自定义的TrustManager来绕过证书验证（但请注意，这样做会降低应用的安全性）。

• 提供说明或引导：对于无法更新Android系统的用户，你可以提供说明或引导他们使用其他支持的设备或方法来访问你的服务。

当低版本安卓系统遇到证书问题时，特别是在使用Digicert（dv）的证书和带有RSA加密的SHA-256算法时，以下是一些建议的解决步骤：

1. 确认证书链完整性：
   • 确保服务器上的证书链是完整的，包括根证书、中间证书和服务器证书。
   • 检查证书链中的所有证书是否都在有效期内，且未被吊销。
2. 更新安卓系统（如果可能）：
   • 如果可能，建议用户更新到更高版本的安卓系统，因为新版本的安卓系统可能包含了对更多证书颁发机构的信任。
3. 更新或添加根证书：
   • 如果低版本安卓系统缺少对Digicert根证书的信任，你可能需要手动添加该根证书到设备的受信任证书列表中。
   • 你可以从Digicert的官方网站或其他可信来源获取最新的根证书，并按照参考文章3中的步骤，将其安装为系统证书。
4. 检查TLS版本和加密算法：
   • 确保服务器支持低版本安卓系统所使用的TLS版本和加密算法。
   • 例如，SHA-256算法是被广泛支持的，但确保服务器配置正确，并且与客户端的TLS版本兼容。
5. 使用第三方库：
   • 在安卓应用中集成如OkHttp或Retrofit等第三方网络库，这些库通常提供了更灵活和强大的SSL/TLS配置选项。
   • 这些库可能允许你更精细地控制证书验证过程，或者提供内置的证书存储和更新机制。
6. 检查代理和VPN设置：
   • 如果用户在使用代理或VPN服务，确保这些服务不会干扰SSL/TLS连接或证书验证过程。
7. 联系证书颁发机构：
   • 如果问题持续存在，考虑联系Digicert或其他证书颁发机构，以获取关于证书问题的技术支持。
8. 应用级解决方案：
   • 如果以上方法均不可行，你可以在应用中实现自定义的证书验证逻辑。但请注意，这样做会降低应用的安全性，因为它会绕过安卓系统的默认证书验证机制。

上述解决方法中,第8个是我们尝试的方法,放到项目中,如果是 retofit+okhttp 框架,忽略证书验证,如何用代码进行实现呢,以下是简单的代码演示:

要在使用 Retrofit 和 OkHttp 的安卓应用中忽略证书验证，你需要自定义 OkHttp 的 OkHttpClient，并设置一个信任所有证书的信任管理器。以下是具体的实现方法：

1. 添加 Retrofit 和 OkHttp 依赖

首先，确保你的 build.gradle 文件中已经包含 Retrofit 和 OkHttp 的依赖：

dependencies {
    implementation 'com.squareup.retrofit2:retrofit:2.9.0'
    implementation 'com.squareup.retrofit2:converter-gson:2.9.0'
    implementation 'com.squareup.okhttp3:okhttp:4.9.0'
}

2. 创建一个忽略证书验证的 OkHttpClient

你需要创建一个自定义的 OkHttpClient，并配置它忽略所有证书验证：

import java.security.cert.CertificateException;
import java.security.cert.X509Certificate;
import javax.net.ssl.HostnameVerifier;
import javax.net.ssl.SSLContext;
import javax.net.ssl.SSLSocketFactory;
import javax.net.ssl.TrustManager;
import javax.net.ssl.X509TrustManager;

import okhttp3.OkHttpClient;
import retrofit2.Retrofit;
import retrofit2.converter.gson.GsonConverterFactory;

public class UnsafeOkHttpClient {
    public static OkHttpClient getUnsafeOkHttpClient() {
        try {
            // Create a trust manager that does not validate certificate chains
            final TrustManager[] trustAllCerts = new TrustManager[] {
                new X509TrustManager() {
                    @Override
                    public void checkClientTrusted(X509Certificate[] chain, String authType) throws CertificateException {
                    }

                    @Override
                    public void checkServerTrusted(X509Certificate[] chain, String authType) throws CertificateException {
                    }

                    @Override
                    public X509Certificate[] getAcceptedIssuers() {
                        return new X509Certificate[]{};
                    }
                }
            };

            // Install the all-trusting trust manager
            final SSLContext sslContext = SSLContext.getInstance("SSL");
            sslContext.init(null, trustAllCerts, new java.security.SecureRandom());
            // Create an ssl socket factory with our all-trusting manager
            final SSLSocketFactory sslSocketFactory = sslContext.getSocketFactory();

            OkHttpClient.Builder builder = new OkHttpClient.Builder();
            builder.sslSocketFactory(sslSocketFactory, (X509TrustManager)trustAllCerts[0]);
            builder.hostnameVerifier(new HostnameVerifier() {
                @Override
                public boolean verify(String hostname, javax.net.ssl.SSLSession session) {
                    return true;
                }
            });

            return builder.build();
        } catch (Exception e) {
            throw new RuntimeException(e);
        }
    }
}

3. 使用自定义的 OkHttpClient 创建 Retrofit 实例

现在，你可以使用上面定义的 UnsafeOkHttpClient 来创建一个 Retrofit 实例：

import retrofit2.Retrofit;
import retrofit2.converter.gson.GsonConverterFactory;

public class ApiClient {
    private static Retrofit retrofit = null;

    public static Retrofit getClient(String baseUrl) {
        if (retrofit == null) {
            retrofit = new Retrofit.Builder()
                .baseUrl(baseUrl)
                .client(UnsafeOkHttpClient.getUnsafeOkHttpClient())
                .addConverterFactory(GsonConverterFactory.create())
                .build();
        }
        return retrofit;
    }
}

然后可以使用Retroft进行接口的网络请求了,其实最主要的还是创建一个自定义的 OkHttpClient，并配置它忽略所有证书验证;

注意事项

1. 仅限开发测试：忽略证书验证会使你的应用在开发和测试阶段更加方便，但它会带来安全风险，不适合在生产环境中使用。
2. 生产环境：在生产环境中，确保你的应用使用正确的证书验证，以防止中间人攻击和其他安全问题。

通过这些步骤，你可以在使用 Retrofit 和 OkHttp 时忽略证书验证，以便在开发和测试阶段处理低版本安卓系统的证书问题。