谈谈Android https的安全使用

最新推荐文章于 2022-01-12 09:41:12 发布
最新推荐文章于 2022-01-12 09:41:12 发布
阅读量647 收藏 2
点赞数
分类专栏: Android 文章标签: Android https ssl pinning
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/haoren_xhf/article/details/82994696
版权

前言

https利用PKI体系对web通信进行认证和加密,认证和加密的重要性不言而喻。在实现https过程中,证书校验这一环节起到至关重要的作用,但经常会出现各种问题。本文梳理了Android应用中校验https证书过程会出现的各种情况

首先简单说下证书校验逻辑:

如下图,网站使用的https证书存在某个证书路径下,最顶层的是全球公认的根证书(Root CA),接着是根证书CA签发的二级证书,然后是网站证书,即证书链结构。

(目前市场上全球信任的支持浏览器的 SSL证书主要有 3 种: EV SSL证书、OV SSL证书和 DV SSL证书)

其中根证书有很多个(也有不可靠、被攻击的根证书),证书层级也可以不止三层。

网站证书是否可信,必须要证明其在某个可信根证书链中。

 

Android app的https通信中,存在各种方式对待https证书

1、app忽略https证书错误

app在开发测试过程中使用测试版服务器资源,其https证书可能使用openssl自行生成,不存在于任何可信根证书链中,app加载https资源时会提升证书错误,于是研发便在代码层忽略证书错误

》忽略webview中的https证书错误

@Override
public void onReceivedSslError(WebView view,
        SslErrorHandler handler, SslError error) {
    handler.proceed();//忽略错误证书, 危险
    //handler.cancel();
}

》忽略URLConnection中的https通信错误

//httpClient or UrlConnection使用自定义的X509TrustManager, 且getAcceptedIssuers返回为空, 
会信任所有https, 危险

public class MySSLSocketFactory extends SSLSocketFactory {
    SSLContext sslContext = SSLContext.getInstance("TLS");
//TrustManager自定义
    public MySSLSocketFactory(KeyStore truststore)
            throws NoSuchAlgorithmException, KeyManagementException,
                KeyStoreException, UnrecoverableKeyException {
        super(truststore);
        TrustManager tm = new X509TrustManager() {

            @Override
            public X509Certificate[] getAcceptedIssuers() {
                return null;
            }

            @Override
            public void checkClientTrusted(X509Certificate[] chain,
                    String authType) throws CertificateException {
            
            }

            @Override
            public void checkServerTrusted(X509Certificate[] chain,
                    String authType) throws CertificateException {
            }
        };

        sslContext.init(null, new TrustManager[] { tm }, null);
    }

    @Override
    public Socket createSocket() throws IOException {
        return sslContext.getSocketFactory().createSocket();
    }

    @Override
    public Socket createSocket(Socket socket, String host, int port,
            boolean autoClose) throws IOException, UnknownHostException {
        return sslContext.getSocketFactory().createSocket(socket, host, port,
                autoClose);
    }

    public static SSLSocketFactory getSocketFactory() {
        try {
            KeyStore trustStore = KeyStore.getInstance(KeyStore.getDefaultType());
            trustStore.load(null, null);
            SSLSocketFactory factory = new MySSLSocketFactory(trustStore);
            return factory;
        } catch (Exception e) {
            e.getMessage();
            return null;
        }
    }
}

//schReg.register(new Scheme("http", PlainSocketFactory.getSocketFactory(), 80));
//schReg.register(new Scheme("https", SSLSocketFactory.getSocketFactory(), 443));
HttpsURLConnection.setDefaultSSLSocketFactory(MySSLSocketFactory.getSocketFactory());
//HttpsURLConnection.setDefaultSSLSocketFactory(SSLSocketFactory.getSocketFactory());//安全的写法

代码中忽略了证书错误,导致“网络中间人”使用任何证书都可以进行https通信嗅探,https形同http

 

2、代码中实现SSL Pinning(证书绑定)

顶级根证书存在太多,而且有不可靠、被攻击的根证书。这样即使证书校验通过,也可能是“中间人”攻击者签发的证书,仍然可以嗅探通信

SSL Pinning:使用指定的N个证书链进行https证书校验过程,或指定证书hash值与网站证书对比

在TrustManager的checkServerTrusted函数中对比证书hash

这里提供另外一种使用本地证书库的方式

public class MySSLSocketFactory1 extends SSLSocketFactory {

    public MySSLSocketFactory1(KeyStore truststore)
            throws NoSuchAlgorithmException, KeyManagementException,
                KeyStoreException, UnrecoverableKeyException {
        super(truststore);
    }

    public static SSLSocketFactory getSocketFactory(Context context) {
        InputStream input = null;
        try {
//          //cer,der证书
//          input = context.getResources().openRawResource(R.raw.fiddler);//
//          CertificateFactory cerFactory = CertificateFactory.getInstance("X.509");
//            Certificate cer = cerFactory.generateCertificate(input);
//            KeyStore keyStore = KeyStore.getInstance(KeyStore.getDefaultType());
//            keyStore.load(null, null);
//            keyStore.setCertificateEntry("ca", cer);
            
            //密钥库
            KeyStore keyStore = KeyStore.getInstance("BKS");
            InputStream in = context.getResources().openRawResource(R.raw.my);
            try {
                keyStore.load(in, "123123".toCharArray());
            } finally {
                in.close();
            }
            
            SSLSocketFactory factory = new MySSLSocketFactory1(keyStore);

            return factory;
        } catch (Exception e) {
            e.printStackTrace();
            return null;
        } finally {
            if (input != null) {
                try {
                    input.close();
                } catch (IOException e) {
                    e.printStackTrace();
                }
                input = null;
            }
        }
    }
}

 

Android各个框架如何实现SSL pinning,参考https://medium.com/@appmattus/android-security-ssl-pinning-1db8acb6621e

(另外dns提供了更直接的解决方案,浏览器也有相应的HPKP解决方案

DNS CAA:通过DNS配置,对外声明哪个CA可以签发自己域名的SSL证书。防止中间ca作恶

https://blog.qualys.com/ssllabs/2017/03/13/caa-mandated-by-cabrowser-forum

 

3、配置文件中增加ssl pinning

代码中实现较麻烦,官方支持在Android 7/N(API24)版本直接在配置文件中控制证书校验

AndroidManifest.xml

res/xml/network_security_config.xml

还可以配置可信CA,强制https通信等

官方参考https://developer.android.com/training/articles/security-config

 

4、忽略用户/管理员安装证书

SSL Pinning在https证书过期阶段处理比较麻烦,一般app仅使用https通信,并不绑定证书

没有绑定证书,可以通过在手机上安装代理(fiddler)的证书,然后对app的抓包分析

但是Android 7.0(minSdkVersion>24)之后,Android系统默认不接受用户安装的证书,如下

想要分析app网络数据,需要root之后写入证书,或使用低版本手机,或者重打包app

(安装证书到system store:先安装到user store /data/misc/keystore,然后将文件复制到/etc/security/cacerts

https://nelenkov.blogspot.com/2011/12/ics-trust-store-implementation.html)

 

结语

使用https是必然趋势,且使用SSL pinning也是必然趋势,为了更安全

深入浅出_balance
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Android 设置客户端支持的TLS支持的版本号
08-09 7292
前:最近做基于XMPP协议的IM,服务端用的是OpenFire,客户端用的Smack包,需要进行TLS加密服务端设置为只支持TLS1.2,可是我开加密的时候客户端总是TLS1,不知为何,最终在stackoverflow找到答案:http://stackoverflow.com/questions/37815995/android-smack-ssl-tls-connection-to-xmpp-e
Android开发中的Https安全规范
caizehui的博客
01-11 1142
前言: 越来越多的Android应用为了android通信安全,将http通信改为Https通信连接,或单向验证或双向验证。 但是如果不按规范将TLS连接中对证书等进行安全校验,实际上和http通信没有任何差别,还是有很多的安全风险,如中间人攻击等。 一方面TLS版本要高,如TLS1.2、TLS1.3,因为旧版本的都已发现安全漏洞。另外,就是一些通用部分,如下为阿里Android开发手册部分提到的规范,可以进行参考。 从 2017 年 3 月 1 日起,只要新应用或应用更新采用的 HostnameVerif
java http 验证_JAVA HttpClient调用Https 跳过证书验证
weixin_39922749的博客
02-21 259
开始时,报这个错误javax.net.ssl.SSLPeerUnverifiedException: peer not authenticatedSystem.setProperty("javax.net.debug","ssl");httpclient = new DefaultHttpClient();httpclient = getHttpsClient(httpclient);public...
springBoot 解决https ssl证书验证问题
u010114906的博客
10-27 7383
SpringBoot 集成webSocket 所需jar包 jxl.jar java代码 首先选择模板相对目录 InputStream fis = new FileInputStream("/opt/upload/excel/1.xls"); 获取excel Workbook wb = Workbook.getWorkbook(fis); 生成完成后的路径及名字 WritableWorkboo...
关于新浪微博SDK在代理服务网络环境中遇到的问题 weibo4j.model.MySSLSocketFactory.createSocket
关于代码的那些事
10-20 2069
最近客户在使用我们的新浪微博应用的时候突然不能使用了,后台抛出的异常如下: Caused by: java.net.SocketTimeoutException: connect timed out at java.net.PlainSocketImpl.socketConnect(Native Method) at java.net.PlainSocketImpl.do
数字证书PKI原理
跨链技术践行者
06-29 801
PKI基础架构 密钥管理面临的挑战: 在使用任何基于RSA服务之前 ,一个实体需要真实可靠的获取其他实体的公钥。 通过非信任的通道,公钥交换必须是安全的。 在密钥交换过程中,公钥必须不能够被截获和更改。 交换呈现Full Mesh的复杂度。 由最终用户来确认密钥有效性,非常不靠谱。 PIK介绍: 公钥基础设施PKI(Public Key Infrastructure),是通过使用公钥技术和数字证书来提供系统信息安全服务,并负责验证数字证书持有者身份的一种体系。PKI技术是信息安全技术的核心,也
android安全攻防实战
04-15
android进阶的数目是你通向Android高阶工程师道路首选的一本书。
android-7 面试知识点
01-20
5、手写单例模式中的懒汉双重锁代码6、LaunchMode及其使用场景7、请手写一个冒泡排序8、Activity的启动过程9、请大概说一下你了解的Service10、说一下你了解的广播11、请说一下内容提供者12、Handler原理13、OKHttp...
谈谈安卓的Intent注入.pdf
08-07
neobyte – 百度X-Team成员,多年安全评估经验,主要研究Java安全、安卓安全、前端安全等。多次获得Chrome以及Android团队致谢。 Intent是安卓Java环境的一种IPC形式。Intent注入可以让APP发送我们想要的 Intent。...
android用户验证
08-16
android APP用户登录的实例,原理是通过APP调用远程服务器的PHP文件,发送用户名和密码,接收验证结果,数据库的验证由PHP程序来完成。需要的所有代码几乎都有,但是程序不能...只是原理演示,没有做安全的防护措施。
android 面试2
06-22
谈谈Android引入广播机制的用意。  答:两种,一种是xml注册,一种是代码注册  xml注册的优点:方便、易读  缺点:当手机处于关机状态时,仍然可以监听到广播,不灵活  代码注册的优点:灵活,手机处于关机...
JAVA HttpClient调用Https 跳过证书验证
weixin_34380948的博客
12-28 612
2019独角兽企业重金招聘Python工程师标准>>> ...
京东用户授权登录接口调用部署到服务器报错 javax.net.ssl.SSLHandshakeException 证书验证不通过
weixin_42737985的博客
11-01 1349
调用京东用户授权登录接口 https://jauth.jd.com/access_token 使用httpCilent get请求 在本地测试时没有问题 可以正常获取到用户openid等信息 但是工程部署到云测试服务器上后 请求报错: javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorExceptio...
Android6.0使用Https出现Handshake failed错误
热门推荐
duanbokan的专栏
03-17 2万+
Android6.0版本开发中使用Https进行网络请求,出现Handshake failed错误原因及解决办法
Android Https安全使用
wangsf1112的专栏
06-23 1433
一.Https介绍 HTTP协议是没有加密的明文传输协议,如果APP采用HTTP传输数据,则会泄露传输内容,可能被中间人劫持,修改传输的内容。 HTTPS是HTTP over SSL,HTTP是应用层协议,TCP是传输层协议,在应用层和传输层之间,增加了一个安全套接层SSL安全套接字层 (SSL)现在技术上称为传输层安全协议(TLS)。SSL/TLS层负责客户端和服务器之间的
Android HTTPS详解
小一的专栏
09-15 6411
前言 最近有一个跟Https相关的问题需要解决,因此花时间学习了一下Android平台Https使用,同时也看了一些Https的原理,这里分享一下学习心得。 HTTPS原理 HTTPS(Hyper Text Transfer Protocol Secure),是一种基于SSL/TLS的HTTP,所有的HTTP数据都是在SSL/TLS协议封装之上进行传输的。HTTPS协议是在HTTP
Android 通过 HTTPSSSL 确保安全
蔚可云的博客
01-12 623
安全套接字层 (SSL)(现在技术上称为传输层安全协议 (TLS))是一个通用构建块,用于在客户端与服务器之间进行加密通信。应用很可能以错误的方式使用 SSL,从而导致恶意实体能够拦截网络上的应用数据。为了帮助您确保您的应用不会出现这种情况,本文重点介绍了使用安全网络协议的常见陷阱,并解决对使用公钥基础结构 (PKI) 关注较多的问题。 1、概念 在典型的 SSL 使用场景中,会使用一个包含公钥及与其匹配的私钥的证书配置服务器。作为 SSL 客户端与服务器握手的一部分,服务器将通过使用公钥加密签署其证书
Android使用https
海纳百川Android的博客
09-27 1259
HTTP协议被用于在Web浏览器和网站服务器之间传递信息,HTTP协议以明文方式发送内容,不提供任何方式的数据加密,如果攻击者截取了Web浏览器和网站服务器之间的传输报文,就可以直接读懂其中的信息,因此,HTTP协议不适合传输一些敏感信息,比如:信用卡号、密码等支付信息。 为了解决HTTP协议的这一缺陷,需要使用另一种协议:安全套接字层超文本传输协议HTTPS,为了数据传输的安全HTTPS在H...
Java SSLSocket的使用
chen_410063005的专栏
12-20 2025
1. 什么是SSLSocket JDK文档指出,SSLSocket扩展Socket并提供使用SSL或TLS协议的安全套接字。 这种套接字是正常的流套接字,但是它们在基础网络传输协议(如TCP)上添加了安全保护层。 具体安全方面的讨论见下一篇。本篇重点关注SSLSocket及相关几个类的使用。   2. SSLSocket和相关类 SSLSocket来自jsse(Java Secure ...
谈谈NI Multisim的使用
最新发布
07-14
以下是关于NI Multisim使用的一些要点: 1. 电路设计:NI Multisim提供了直观的界面,使用户能够轻松创建电路图。您可以从库中选择并放置元件,然后使用连线工具进行连接。该软件支持模拟和数字电路设计,并提供了...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值