一次更新SSL证书引发的事故

最新推荐文章于 2024-06-27 14:53:08 发布
最新推荐文章于 2024-06-27 14:53:08 发布
阅读量4.4k 收藏 2
点赞数 3
文章标签: android ca证书 https
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lch_dlmu/article/details/122844510
版权

        记一次因为更新证书导致Adroid应用无法访问接口的事故,问题的出现很怪异,正常情况证书到期购买新的证书配到nginx就可以解决问题,但是这次到期购买证书配上之后Android应用始终无法访问接口,网页和ios应用却可以正常访问。

        这时在Android程序里访问接口却一直报异常:java.security.cert.CertPathValidatorException: Trust anchor for certification path not found。

        首先测试Android APP访问其他的https接口,因为之前一个类似的项目就拿来测试了,发现可以正常访问,这时怀疑是证书的问题,然后联系证书提供方,他们那边经过各种测试说证书没有问题,我们自己也在网上找了几个证书测试的网站,测试后基本的结论都是证书没有问题。

        这时就开始怀疑是服务器的安全策略或者防火墙是不是限制了Adroid设备的https访问,经过业主的一番折腾,后台用一套干净的服务器部服务还是问题依旧,这时几乎陷入了僵局,服务器没问题,证书没问题,程序没问题,简直无解了,APP还是无法正常访问接口,这时距离问题的出现过去了已经两天,用户急得哇哇叫~~~~~~

        这时一位高人出现了,他说可能是证书的链路太多,一语惊醒梦中人啊,感觉他说这个很在理于是迅速展开了测试和验证,果然迅速解决了问题,在此对这位不认识的业主方朋友表示非常非常的感谢,要不问题的解决估计还要拖一段时间了~~~~~~

问题的测试验证过程

        首先查看能正常访问的证书和出现异常的证书链路,发现确实不能访问的https证书链路多一级。

        

这就是新证书和老证书的区别,右侧为新证书,多了一级链路。

        这时首先的想法是能不能更改证书变成2级链路,咨询了证书提供商后说可以删除最后一级试试,简直不要太好,马上干~~~

        如上图所示,证书就长这样,去掉最后红框一部分后,重启nginx,问题马上解决,真是喜大普奔,问题出现这么长时间,总算找到了地方。

        回到程序中,之前的程序证书验证时走的下面的程序,只验证了两级,所以一直通不过。

 现在增加一级判断,程序立马可以访问了。

        至此,问题圆满解决,Android Trust anchor for certification path not found,问题原因有很多,百度一下一大堆,但是好像没发现有此经历的文章;记录一下,也给同样受此问题困扰的小伙伴一个解决问题的途径。

lch_dlmu
关注
【网络安全】SSL(一):为什么需要 Keyless SSL
等风来
11-17 2032
作为一家面向全球众多金融机构的私有云文件同步与共享初创企业,我们始终致力于寻找最优的安全技术,帮助确保重要数据在防火墙后安全无虞,同时享受云端的规模化优势,”AeroFS 联合创始人兼 CEO Yuri Sagalov 表示,“Keyless SSL 技术让企业能够兼得两全之美:既能将私钥安全地保存在企业防火墙内,又能为客户访问服务提供边缘级别的加密保护。我们对Keyless SSL的评估表明,密钥始终留在客户的基础设施中,而与CloudFlare的安全通信通道既保护了数据传输,也减少了密钥的攻击面。
一次由系统时间不一致导致证书错误引发的下载失败问题
02-14 2401
春节放假回来发现有一个gitlab的runner编译打包总是不成功,具体错误为某个包下载失败,记得以前是维护过的,因为npm有一些包在海外,所以下载不畅,一般都是手动处理。 具体错误如下 [5/5] Building fresh packages... info Visit https://yarnpkg.com/en/docs/cli/install for documentation ab...
Windows或Nginx上安装/更新SSL证书,步骤详解
Zh.快乐的程序猿的博客
06-18 2811
Windows或Nginx上安装/更新SSL证书,步骤详解
SSL证书引起的重大生产事故
GodHao的博客
08-29 1154
这篇博客记录了我是如何根据零散线索如何快速定位问题、提出解决方案并进行实施解决! 自我介绍一下,我是一名Java开发工程师,目前坐标在西安。可以加我微信,一起探讨技术!闲话不多说,且看下文! 在2020年8月28日晚上8:49分时公司领导突然提出平台无法登录问题(很不幸,这个BUG的首先发现人居然是领导),那时的我还在派出所处理些事,没有在第一时间看到消息(这是一个很糟糕的事),幸运的是刚好有一个同事手里有电脑能排查。 所以那时我也没在意,因为之前出现过类似的问题,原因是磁盘满(日志太多了,有的高达7
openssl版本冲突导致的崩溃(初稿)
qq_42896627的博客
04-03 503
而后修改makefile添加-Wl,–exclude-libs,ALL后才隐藏了libblowsnow_db.a里面所有的符号,重新编译UniAuditToSysLog替换后验证,发现模块可正常运行。提供一个centos的gdb包 gdb-7.6.1-120.el7.x86_64。执行rpm -ivh gdb-7.6.1-120.el7.x86_64 安装失败。重新执行rpm -ivh gdb-7.6.1-120.el7.x86_64。手动运行模块后,设置的路径下生成了core文件。
Android手机一直网络不可用ssl证书错误解决办法
云霄IT的博客
06-27 800
系统-设置-日期与时间 >>>使用网络提供的时间和时区。
Android Https证书过期解决方案
gofind
11-14 1442
Android Https证书过期解决方案
SSL证书到期影响APP问题
yuzhang.online的博客
06-22 1053
问题特征1:启动页无法展示或者启动页一直白屏 问题特征2:启动页出现NoConnection error问题 问题特征3:启动页清除缓存后一直卡在启动页 问题特征4:启动页面有缓存时,部分情况下可以进入登陆并且业务功能正常 排查问题 启动服务请求问题: 查看服务中对应接口名称请求是否存在问题 查看文件服务是否出现问题排查日志及接口、banner服务是否存在问题排查日志及接口 postman测试接口发现问题提示:SSL Error: Certificate has expired postma
Puppet与安全:SSL证书管理与身份验证
# 章节一:Puppet简介和安全性概述 Puppet是一个自动化配置管理...在本章中,我们将深入探讨SSL证书的生成、签发和管理,以及SSL证书管理的最佳实践。让我们一起来了解这些内容。 ## 章节三:Puppet节点身份验证 在P
一次ssl方式导致的堆外内存泄露
coder_xia的专栏
01-07 2729
在巡检的时候突然发现现网某业务使用内存大约6G,问题是我们配置的-Xmx=2G,metaspace没配置,从GC日志看 第一次提交的最大metaspace为1G,假设都使用了,堆外内存最小也有3G了 定位步骤 1.查看/proc/${pid}/smaps文件(pmap命令也类似) 发现20来个65536KB的块 而且连续观察到64M块和内存增长量也符合,搜到案例  http://blo...
Volley网络安全:SSL证书验证与https请求
# 一、 什么是Volley网络安全 ## 1.1 Volley框架简介 Volley是Android平台上的一个网络请求框架,由Google开发并开源。它提供了简单易用的API,能够帮助开发者快速、高效地进行网络通信操作。Volley的设计目标是尽...
Android Https证书过期的解决方案
xiangzhihong8的专栏
12-22 1419
应该有很多小伙伴遇到这样一个问题,在线上已发布的app里,关于https的cer证书过期,从而导致app所有网络请求失效无法使用。这个时候有人就要说了,应急发布一个已更新最新cer证书的apk不就完事了么,其实没那么简单,iOS还好可以通过appstore提供的api查询到新版本,但android就不一样了,需要调用自己Server端提供的api接口查询到新版本,并获取apk下载路径,问题是https都不能访问了,如何请求到版本信息呢?
解决老安卓系统根证书缺失或过期导致的网站访问错误及软件运行问题. 2023-03-05
慕容雪羽
03-05 3721
这时我们可以选择更新整个系统的根证书,我的做法是删掉手机自带的全部根证书,从另一个较新的手机系统中复制一份过来使用。或者使用带有内建证书系统的 火狐浏览器 进行网站的访问,火狐浏览器不受安卓系统的证书系统影响.安卓系统根证书存放位置为: /system/etc/security/cacerts。1.对于单纯的浏览器访问https出现的证书问题,可以选择承担风险继续访问网站.目标机型: 国美u7(安卓7.1) 和 酷派y91(安卓5.1)证书来源机型: IQOO neo3。
服务器配置的https证书在有些客户端认证异常问题
UFO_SERIESOFSOFT的博客
03-19 1012
我这里申请的证书的根证书是明确在手机信任列表的。这点可以通过手机信任的凭据验证。问题是,认证异常并不是一直会!chrome有时也是认证异常,但大部分时间都是正确的。而对于curl命令和手机请求,大部分都是有问题的。这个问题一直没解决,以为是证书通用性问题,就没再去深究。 最近在开发pptp时,因为需要改变ip数据包,所以特地再跟踪了tcp协议。在分析tls时,发现很多网站的证书列表都是两个。一个是...
接口测试--ssl证书问题
软件测试技术交流分享
05-09 388
HTTP:是互联网上应用最为广泛的一种网络协议,是一个客户端和服务器端请求和应答的标准(TCP),用于从WWW服务器传输超文本到本地浏览器的传输协议,它可以使浏览器更加高效,使网络传输减少。HTTPS:是以安全为目标的HTTP通道,简单讲是HTTP的安全版,即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL
android https证书链,https 证书链不完整导致安卓打不开的解决办法
weixin_42502016的博客
05-27 1465
起因在给一客户部署 https 证书后客户反馈手机在安卓上无法打开,刚开始以为是服务器问题,但是在 chrome 和 iPhone 上均表现良好,于是翻出安卓机一看,果然有问题,弹出了如下界面:原来是证书链的问题,那就好办了证书链每个设备中都会存有一些默认的可信的根证书,但很多CA是不使用根证书进行签名的,而是使用中间层证书进行签名,但是如果我们的服务器上没有中间件证书,而客户端的浏览器里只有CA...
RapidSSL证书旗下两款SSL证书产品
01-26 1583
RapidSSL证书SSL证书品牌的一种,也是Geotrust旗下的子证书品牌之一,它旗下的SSL证书产品都是入门级的,性价比也比较高,是Geotrust旗下的SSL证书产品中销量比较好的SSL证书子品牌。RapidSSL旗下有两款基础型的DV SSL证书产品,因为Geotrust已经被Digicert收购的原因,他们的根证书是Digicert。今天我们就来了解一下RapidSSL证书旗下的两款SSL证书产品。 SSL数字证书按照验证方式可以分为三种类型——DV SSL证书、OV SSL证书、EV SS
服务器更换ssl证书后,手机访问微信小程序异常
m0_47175673的博客
07-08 6126
单位的网站近期ssl证书到期,重新购买证书后,先前部署在服务器上面的微信小程序访问异常,通过在微信开放社区、百度、csdn各种搜索,最终确认问题原因,修改后解决,现对整个过程做一个梳理,做个总结。......
Trust anchor for certification path not found异常解决方法
热门推荐
qq_43012399的博客
11-14 3万+
异常详情: javax.net.ssl.SSLHandshakeException: java.security.cert.CertPathValidatorException: Trust anchor for certification path not found. 问题原因: 由于项目的https.bks证书不是正规的CA签发的证书,而是二级代理商等签发的证书,验证不通过造成的!!! 解决...
npm install 证书过期
最新发布
03-14
### 解决方案概述 当 `npm install` 遇到证书过期问题时,通常是因为目标仓库的 SSL 证书已失效。以下是几种常见的解决办法: #### 方法一:关闭严格 SSL 检查 通过设置 NPM 的配置项来禁用严格的 SSL 验证可以解决问题。此操作会跳过对 HTTPS 请求的安全性检查。 ```bash npm config set strict-ssl false ``` 这种方法适用于临时解决因证书问题导致的错误[^1]。需要注意的是,在生产环境中不建议完全禁用 SSL 验证,因为这可能会带来安全风险。 --- #### 方法二:切换至其他可靠的镜像源 如果当前使用的镜像源(如淘宝镜像)存在证书过期的情况,则可以选择更稳定的替代品。例如: 1. 使用官方默认的 NPM 注册表: ```bash npm config set registry https://registry.npmjs.org/ ``` 2. 或者尝试 CNPM 提供的服务作为备选方案: ```bash npm config set registry http://registry.cnpmjs.org ``` 这些命令能够帮助用户快速替换掉可能存在问题的镜像地址。 --- #### 方法三:更新本地环境中的 CA 文件 有时,即使服务器端修复了其自身的认证文件,客户端也需要同步最新的根证书列表才能正常通信。可以通过重新安装 Node.js 来获取最新版本附带的基础信任库;或者手动下载并导入受信机构签发的新版公钥凭证。 对于某些特定场景下无法更改全局网络参数的应用程序来说,调整应用层面上的信任链也是一个可行的选择之一[^4]。 --- #### 方法四:单独处理单次请求忽略SSL验证 仅针对某一次执行的操作暂时放松约束条件而不影响长期设定也是一种折衷的办法: ```bash npm --strict-ssl=false install ``` 这样可以在不影响整体配置的前提下完成此次任务需求. --- ### 总结 综上所述,面对由SSL证书到期引发的一系列连锁反应式的技术难题时,我们有多种途径可供选择去克服它们带来的阻碍效果最佳实践取决于实际应用场景和个人偏好等因素综合考量之后做出决定最为合适不过啦! ```python # 示例 Python 脚本用于演示如何自动化上述部分流程 (可选) import os def disable_strict_ssl(): os.system('npm config set strict-ssl false') def switch_to_official_registry(): os.system('npm config set registry https://registry.npmjs.org/') disable_strict_ssl() switch_to_official_registry() ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值