Android中使用Webview SSL 自签名CA证书安全校验方案

已于 2022-11-21 10:49:16 修改
阅读量2.6k 收藏 3
点赞数
文章标签: ssl android
于 2022-11-18 21:13:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jsxin0816/article/details/127929069
版权

前言:     

        因为我们的项目是Android + H5,之前的做法是把H5所需要的资源和html下载到本地这样证书校验不会走系统浏览器层只需要项目中预埋根证书就可以了,但是如果用webview加载线上的域名自签名证书就会走系统级校验在onReceivedSslError中返回ssl证书不受信,从而导致出现白页的情况

本篇文章贵在直接给提供一个工具类按照步骤直接使用:

使用方法:

1、在自己app的gradle中添加okhttp依赖,项目中如有可以忽略 

    implementation 'com.squareup.okhttp3:okhttp:3.11.0'
    implementation 'com.squareup.okio:okio:1.14.0'
    implementation 'com.squareup.okhttp3:okhttp-urlconnection:3.11.0'

2、把服务器端给你的CA根证书(.cer后缀的,貌似.pem的不行但是自己改一下后缀好像可以用)放到自己的assets目录下

3、在自己的webview中setWebViewClient的时候重写一下onReceivedSslError方法,在该方法中处理ssl握手失败的场景可以通过打印error.getPrimaryError()去SslError类中对比一下报错原因

mWebview.setWebViewClient(new WebViewClient() {
    ...
    @Override
			public void onReceivedSslError(WebView view, SslErrorHandler handler, SslError error) {
//				super.onReceivedSslError(view, handler, error);
				//自签名证书校验失败
				new CheckoutServerCaUtil().checkoutServerCA(handler,view.getUrl(),view.getContext(),"chain.cer");
			}
}

4、使用提供的工具类直接校验,工具如下创建名为CheckoutServerCaUtil的类直接ctrl + v 粘贴调用checkoutServerCA方法,参数参考工具中的注释部分就可完成证书的校验和主机名校验:

package com.citicbank.cbframeworkcore.util;


import android.annotation.SuppressLint;
import android.content.Context;
import android.util.Log;
import android.webkit.SslErrorHandler;


import java.io.IOException;
import java.io.InputStream;
import java.security.KeyStore;
import java.security.SecureRandom;
import java.security.cert.CertificateFactory;
import java.security.cert.X509Certificate;
import java.util.Arrays;

import javax.net.ssl.HostnameVerifier;
import javax.net.ssl.SSLContext;
import javax.net.ssl.SSLPeerUnverifiedException;
import javax.net.ssl.SSLSession;
import javax.net.ssl.SSLSocketFactory;
import javax.net.ssl.TrustManager;
import javax.net.ssl.TrustManagerFactory;
import javax.net.ssl.X509TrustManager;
import javax.security.auth.x500.X500Principal;

import okhttp3.Call;
import okhttp3.Callback;
import okhttp3.OkHttpClient;
import okhttp3.Request;
import okhttp3.Response;

/**
 * author : jsxin
 * e-mail : jsxin0816@163.com
 * time   : 2022/11/17
 * desc   : 分行自签名证书校验工具:
 *          功能:1、根证书校验 2、主机名校验
 *          用法:自己的webview.setWebViewClient(new WebViewClient() {
 *              new CheckoutServerCaUtil().checkoutServerCA(handler,view.getUrl(),view.getContext());
 *          }
 */
public class CheckoutServerCaUtil {
    private final String TAG = "CheckoutServerCaUtil";
    public CheckoutServerCaUtil() {
    }

    /**
     * 根证书校验:onReceivedSslError(WebView view, SslErrorHandler handler, SslError error)
     * @param handler :   onReceivedSslError回调:SslErrorHandler
     * @param url :       onReceivedSslError回调:WebView.getUrl
     * @param context:    onReceivedSslError回调:WebView.getContext
     * @param caName:    放在assets目录下的根证书名称:例如:"chain.cer"
     */
    public void checkoutServerCA(final SslErrorHandler handler, String url, Context context,String caName) {
        OkHttpClient.Builder builder;
        try {
            InputStream inputStream = context.getAssets().open(caName);
            Log.d(TAG,"jsxin--->>>执行:--->>>00--->>>url:" + url);
            builder = setCertificates(new OkHttpClient.Builder(), inputStream);

        } catch (IOException e) {
            Log.d(TAG,"jsxin--->>>异常:--->>>01");
            builder = new OkHttpClient.Builder();
        }
        Request request = new Request.Builder().url(url)
                .build();
        builder.build().newCall(request).enqueue(new Callback() {
            @Override
            public void onFailure(Call call, IOException error) {
                Log.d(TAG,"jsxin--->>>自签名证书校验结果:---error:----" + error.toString());
                handler.cancel();
            }

            @Override
            public void onResponse(Call call, Response response) throws IOException {
                Log.d(TAG,"jsxin--->>>自签名证书校验结果:---onResponse:----" + response.code());
                handler.proceed();
            }
        });
    }

    private OkHttpClient.Builder setCertificates(OkHttpClient.Builder client, InputStream... certificates) {

        try {
            Log.d(TAG,"jsxin--->>>执行:--->>>01");

            CertificateFactory certificateFactory = CertificateFactory.getInstance("X.509");

            KeyStore keyStore = KeyStore.getInstance(KeyStore.getDefaultType());

            keyStore.load(null);

            int index = 0;

            for (InputStream certificate : certificates) {

                String certificateAlias = Integer.toString(index++);

                keyStore.setCertificateEntry(certificateAlias, certificateFactory.generateCertificate(certificate));

                try {

                    if (certificate != null)

                        certificate.close();

                } catch (IOException e) {
                    Log.d(TAG,"jsxin--->>>异常:--->>>02");
                    e.printStackTrace();
                }

            }
            Log.d(TAG,"jsxin--->>>执行:--->>>02");
            SSLContext sslContext = SSLContext.getInstance("TLS");

            TrustManagerFactory trustManagerFactory =

                    TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());

            trustManagerFactory.init(keyStore);

            sslContext.init(null, trustManagerFactory.getTrustManagers(), new SecureRandom());

            SSLSocketFactory sslSocketFactory = sslContext.getSocketFactory();
            TrustManager[] trustManagers = trustManagerFactory.getTrustManagers();
            if (trustManagers.length != 1 || !(trustManagers[0] instanceof X509TrustManager)) {
                Log.d(TAG,"jsxin--->>>异常:--->>>03");
                throw new IllegalStateException("Unexpected default trust managers:"
                        + Arrays.toString(trustManagers));
            }
            X509TrustManager trustManager = (X509TrustManager) trustManagers[0];
            Log.d(TAG,"jsxin--->>>执行:--->>>03");

            client.sslSocketFactory(sslSocketFactory, trustManager);
            hostNameVerifier(client);
        } catch (Exception e) {
            Log.d(TAG,"jsxin--->>>异常:--->>>04");
            e.printStackTrace();

        }

        return client;

    }

    private void hostNameVerifier(OkHttpClient.Builder client) {
        Log.d(TAG,"jsxin--->>>执行:--->>>04");
        client.hostnameVerifier(new HostnameVerifier() {
            @SuppressLint("BadHostnameVerifier")
            @Override
            public boolean verify(String hostname, SSLSession session) {
                String peerHost = session.getPeerHost();//服务器返回的域名
                Log.d(TAG,"jsxin--->>>执行:--->>>05--->>>服务器返回域名 peerHost:" + peerHost + "--->>>主机名:" + hostname);
                try {
                    X509Certificate[] peerCertificates = (X509Certificate[]) session.getPeerCertificates();
                    for (X509Certificate c : peerCertificates) {
                        X500Principal subjectX500Principal = c.getSubjectX500Principal();
//                        String name = new X500Principal(subjectX500Principal).getName();
                        String name = subjectX500Principal.getName();
                        Log.d(TAG,"jsxin--->>>执行:--->>>06--->>>subjectX500Principal.getName():" + name);
                        String[] split = name.split(",");
                        for (String s : split) {
                            if (s.startsWith("CN")) {
                                if (s.contains(hostname) && s.contains(peerHost)) {
                                    Log.d(TAG,"jsxin--->>>执行:--->>>07");
                                    return true;
                                }
                            }
                        }
                    }
                } catch (SSLPeerUnverifiedException e) {
                    Log.d(TAG,"jsxin--->>>异常:--->>>05");
                    e.printStackTrace();
                }
                Log.d(TAG,"jsxin--->>>主机名校验失败");
                return false;
            }
        });
    }
}

如果想系统的学习一下可以参考这个链接,网上也基本上都是抄的这个但是里面有的一些方法过时了,所以可以直接梭哈我的工具:Android Webview SSL 自签名安全校验解决方案 - 熠然 - 博客园

jsxin0816
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
webviewSSl证书问题
Z_Try的博客
09-14 509
webviewssl证书问题显示空白页
webview的自定义SSL认证配置(p12证书
810364804
11-01 641
因为网页要用到自定义SSL证书,而且密钥是 xxx.p12, 我们是将密钥转化为byte[]的形式传进来的,传入密码,这样来处理SSL 关键在onReceivedClientCertRequest这个方法,要用到隐藏类,因此得用编译android出来的class.jar,不然识别不了该隐藏类 所以自定义WebViewClient如下: import java.security.Key...
转载 : Android webview在https下实现ssl的双向认证
人生在世
11-17 1781
解决APP应用安全报告WebView 无HTTPS 校验风险 的问题。 一、概述 1.简介 Https简单来说是Http的安全版,Https协议是由SSL+Http协议构建的可进行加密传输、身份认证的网络协议,比Http协议更加安全。 这里说的安全靠的就是SSLSSL的作用如下: a.认证用户和服务器,确保数据发送到正确的客户机和服务器。(验证证书) b.加密数据防止传输数据途被窃取。(加密) c.维护数据的完整性,确保数据在传输过程不被改变。(摘要算法) Https在传输数据之前需要客户端与服务器端
android webview加载页面失败事件的处理,包括http异常的情况
最新发布
flyinmind的专栏
05-10 486
webview页面加载失败怎么处理,包括http请求失败,而不是服务器不可达
Android https 自签名CA证书验证(基于OkHttp)
黄小梁的博客
11-12 6901
Android HTTPS自签名CA证书验证(基于OkHttp)HTTPS介绍场景 HTTPS介绍 HTTPS是一种通过计算机网络进行安全通信的传输协议,经由HTTP进行通信,利用SSL/TLS建立全信道,加密数据包。HTTPS使用的主要目的是提供对网站服务器的身份认证,同时保护交换数据的隐私与完整性。简单来说,HTTPS就是“安全版”的HTTP, HTTPS = HTTP + SSL。HTTPS相当于在应用层和TCP层之间加入了一个SSL/TLS,SSL层对从应用层收到的数据进行加密。TLS/SSL
Android WebView安全方面的一些坑
yy1715713348的博客
01-16 1023
公司一款app有将近两年没有更新了,虽然用户量不大,但是因为与第三方有合作,出现问题时需要进行维护;没想到最近第三方对他们所有的软件进行了网络安全扫描,这款也未能幸免…因为app是13年左右开发的,维护也只是到16、17年左右就终止了,所以,扫描出不少漏洞;因为是采用了混合开发,因此,需要解决一些webview
android webview单向认证,android webview ssl校验
weixin_42299169的博客
05-26 563
防止webview捉包,添加ssl证书校验。网上有很多的是在onReceivedSslError校验证书,其实这个时候你的请求已经发出去了,无法到达拦截校验数据。@Overridepublic void onReceivedSslError(WebView view, SslErrorHandler handler, SslError error) {super.onReceivedSslErro...
绕过安卓SSL验证证书的四种方式
热门推荐
omnispace的博客
02-04 1万+
在此之前,移动端应用程序会直接忽略掉所有的SSL错误,并允许攻击者拦截和修改自己的通信流量。但是现在,很多热门应用程序至少会检查证书链是否是一个有效可信任的证书机构(CA)颁发的。 作为一名渗透测试人员来说,我们常常需要让目标应用程序信任我们的证书是有效的,这样我们就可以进行间人攻击(MITM)并修改其流量了。在这篇文章,我们将给大家介绍四种绕过Android SSL验证的方式。
Android APP之WebView校验SSL证书的方法
08-29
Android APP之WebView校验SSL证书的方法是Android应用程序一个非常重要的安全机制。SSL证书校验是指Android APPWebView组件在访问HTTPS站点时,如何验证服务器提供的SSL证书,以确保数据的安全性和机密性。 ...
Androidwebview使用的一些坑
08-27
AndroidWebView使用的一些坑 AndroidWebView使用是一个非常重要的知识点,对于Android开发者来说,掌握WebView使用是非常必要的。在这里,我们将会介绍一些WebView使用需要注意的坑,以便帮助大家更好地...
Android webview手动校验https证书(by 星空武哥)
08-29
Android开发Webview是用于在应用程序内部嵌入网页内容的重要组件。然而,由于Android系统版本间的差异或特定设备的bug,有时Webview可能无法正确验证HTTPS证书,导致加载某些网站时出现错误。比如华为Mate7...
AndroidWebView常见问题及解决方案汇总
01-20
以上就是一些Android WebView在实际开发可能遇到的问题及解决方案,它们涵盖了错误处理、数据管理、用户交互、安全性等多个方面。了解并掌握这些技巧,能帮助开发者更好地利用WebView构建高效、稳定的应用。
Android访问证书有问题的SSL网页的方法
09-04
然而,当尝试加载的网页使用证书存在问题的SSL(Secure Socket Layer)连接时,`WebView` 默认会阻止加载,以保护用户数据的安全性。SSL证书问题可能包括证书过期、证书链不完整、发行机构不受信任等。在某些特殊...
Android Webview https 证书问题及混淆打包后不能访问
mrRuby的博客
05-31 2220
前言 随着人们对安全意识的提高,越来越多的产品都采用HTTPS的方式提供服务。然而在我们的移动产品开发过程,或多或少的都会去使用Webview去加载部分功能,特别是现在区块链的潮流下,为了减少开发成本,加快开发速度,我们的DApp应用大多都是采用h5进行开发。 现在购买证书的渠道很多,但我们系统内置的根证书却有限,特别是Android系统的证书就比IOS的要少,很多的应用在IOS上能够打开,...
移动安全学习笔记——Webview安全漏洞总结
0nc3的博客
02-27 3292
0x00 Webview简介 Webview交互是指App使用webview加载展示功能页面,在使用过程会存在一些风险,导致app被攻击者利用,加载恶意代码,窃取用户信息。 0x01 file协议跨域访问 1、漏洞原理 webview控件将setAllowFileAccessFromFileURLs或setAllowUniversalAcessFromFileURLsAPI设置为true,开启了file域访问,且允许file域访问HTTP域,但是并未对file域的路径做严格限制。 2、检测方法 webv
charles&fiddler安卓手机安装系统级ca证书抓取https请求信息
weixin_43900244的博客
12-29 5401
文章目录问题描述问题分析解决问题思路开始1、从charles端导出ca证书2、windows系统安装openssl3、使用openssl工具计算hash值总结 问题描述 使用charles或fiddler对手机进行app抓包时,对于https请求不能正确的截取请求信息,通过观察抓包软件仅能看到TLS管道建立或大量请求失败的记录。 问题分析 charles或fiddler缺少正确、完整的ca证书,因此不能与client建立TLS连接。 charles或fiddler安装在手机端的ca证书会被作为用户层面的信
(转载)Android HTTPS SSL双向验证(CA证书)
zhuhai__yizhi的专栏
09-07 5464
(转载)https://frank-zhu.github.io/android/2017/03/30/android-https-ssl-part-02/ Android HTTPS SSL双向验证(CA证书) 30 Mar 2017 由于公司项目需要,需要将原来部署的自签名证书切换为CA系统提供商的证书,所以需要对原来的证书生成做相应处理与替换。 想要看自签名证书生成方法可以参考原...
Android证书有效性验证方案
我的专栏
09-30 3241
SSL劫持攻击: 目前虽然很多Android APP使用了https通信方式,但是只是简单的调用而已,并未对SSL证书有效性做验证。在攻击者看来,这种漏洞让https形同虚设,可以轻易获取手机用户的明文通信信息,攻击示意图如下:
android webview单向认证,androidwebview支持自签名证书https 双向认证(SSL)
weixin_35045973的博客
05-26 770
最近完成一个项目,安全级别比较高。所以涉及到https双向认证,在网上找了很多资料都没有完美的解决方案。最后参考了org.sandrob.sslexample的实现方式,结合实际情况才完成该技术难题,现在分享一下我的实现方案来弥补这方面的空白。正文:1.android 4.0(不包含)以下版本的实现方法:1.1 书写认证private SSLContext createSSLContext() {...
android 6.0 webview安装ca证书 csdn
12-14
Android 6.0及以上版本的WebView安装CA证书可以通过以下步骤完成: 1. 首先,将CA证书的文件导入到Android设备。可以将证书文件通过电脑连接手机进行传输,或通过邮箱、微信等方式发送到手机上。 2. 在Android设备,打开“设置”应用程序,并向下滑动找到“安全”或“安全和隐私”选项。 3. 点击“安全”或“安全和隐私”,找到“受信任的凭据”或“信任的凭据存储”选项。 4. 在“受信任的凭据”或“信任的凭据存储”,找到“用户”或“用户证书”选项。 5. 在用户证书选项,浏览设备的文件夹,找到并选择导入的CA证书文件。 6. 在“安装证书”确认对话框,点击“安装”按钮,并完成证书安装过程。 7. 安装完毕后,打开Android应用程序使用WebView,加载需要使用CA证书的URL。 8. WebView会检查并使用已安装的CA证书进行https请求的信任验证,确保连接的安全性。 以上便是在Android 6.0的WebView安装CA证书的步骤。通过这些步骤,我们可以为WebView添加CA证书,使其可以使用HTTPS连接并确保连接的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值