关于APP中预埋证书问题的移除建议

最新推荐文章于 2022-08-05 20:41:04 发布
最新推荐文章于 2022-08-05 20:41:04 发布
阅读量614 收藏
点赞数
文章标签: android http ssl
原文链接:http://www.ert7.com
版权

在APP开发的过程中会有一小部分开发者参考互联网中的开发文档将证书文件等信息预埋到APP程序中。其中不乏存在“预埋证书公钥”“预埋中级证书”“预埋根证书”等错误的证书应用方式。当预埋的APP更新服务器端证书时,发现部分客户出现证书更新之后,APP无法正常通信等情况出现。

如果您发现您的Android App业务存在证书预埋的处理,请及时移除预埋的操作,改为系统自带的信任库做验证,并安排好APP更新计划,以免对您的业务造成影响。

如您不太确定您目前的Android App项目中是否有使用预埋证书相关的安全解决方案,请尽快通知您的APP研发人员并和我们技术人员联系。以免在证书颁发机构在做CA体系更新,您原有证书在到期后做续费更新时,CA证书链发生改变,进 而影响您的业务正常运行,甚至App无法连接后台服务器的重大影响。

证书预埋检查影响

1. 服务器证书(公钥)存在有效期限制,目前最高3年有效期,未来CA/B组织会逐渐缩短证书最长生命周期。如果将服务器证书进行APP预埋证书检查,当服务器证书因为生命周期终止需要更新证书时,经过预埋的APP会出现无法正常通信等情况。

2. 根证书和中级证书也会存在失效、策略变更或者过期,如果将根证书或者中级证书进行APP预埋,一旦根证书和中级证书发生了更新,经过预埋的APP会出现无法正常通信等情况。

虽然在大多数情况下,检查机制能够防御中间人攻击。因为当黑客窃听通信时,他提供的拦截证书多为自签名证书,TrustManager不能识别这个证书,于是拒绝HTTPS连接。但是,一旦预埋的这张证书由于证书生命周期的终止,触发服务器端进行证书更新替换机制时,APP应用端将无法验证请求证书的有效性,从而导致业务中断。

相关知识

TLS/SSL证书链
保证通信安全至少要使用HTTPS协议,也就是说使用安全传输层协议(TLS)或是它的前身安全套接层协议(SSL)加密的通信。

 SSL证书链结构关系
公网可信SSL证书(至少)包括三个证书:

根证书:这是由证书认证机构(CA)颁发的,也就是一个可以确保整个通信时安全的值得信任的组织。

中级证书:一个根证书下有多个中级证书。它们建立服务器证书和根证书的信任桥梁,是连接服务器证书和根证书的证书链,由根证书签名的证书。

服务器证书:服务器证书是绑定最终请求域名的证书,为最终的加解密证书文件。

Must7
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
关于 APP 预埋检查策略优化
vTrus
02-26 361
背景 在 APP 海量时代,很多APP 都进行过证书预埋检查功能设置。当预埋APP 更新服务器端证书时,发现部分客户出现证书更新之后,APP 无法正常通信等情况出现。经过技术排查发现由于APP 进行了证书预埋检查,并预埋了服务器证书(公钥)文件等信息,导致证书更新后新证书无法通过 APP 预埋检查验证,提示网络止连接。 如果你的 APP 做了以下的预埋,都会存在隐患: 1.在APP 预埋了服务器证书(公钥)做证书检查 2.在APP 预埋了服务器证书的指纹值做证书检查 3.在APP 预埋中级证书
HTTPHTTPS的区别
weixin_30477293的博客
09-14 170
httphttps的区别 HTTP协议传输的数据都是未加密的,也就是明文的,因此使用HTTP协议传输隐私信息非常不安全,为了保证这些隐私数据能加密传输,于是网景公司设计了SSL(Secure Sockets Layer)协议用于对HTTP协议传输的数据进行加密,从而就诞生了HTTPS。 简单来说,HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,要比http协议安全...
Android实现https项目实战
张平的专栏
06-29 861
相信很多客户端开发人员特别是Android开发人员对https如何在程序使用存有疑惑,项目有的说“什么都不用校验校验都在服务端”、“ios都不用校验,系统自带处理机制”……之类的,不管是使用Volley、OkHttp还是其他网络框架,不做校验或使用不安全校验确实能是客户端正常访问https的接口服务地址,但是如此以来给app特别是Android版本的应用程序带来了极大安全隐患。 网上查找解决方
App预埋功能总结
ChatGPTer
09-19 1000
文章目录升级功能开关通用弹框版本和新版本字段兼容extension扩展字段权限管理域名替换 升级 升级是App必须预备的功能。 通过升级能够给用户通知新版本信息,同时也方便用户直接在app内升级版本,这样不需要再去应用市场去更新。 尤其是强制升级,在低版本不能和高版本兼容的情况下,以及后台不再支持低版本接口的时候,就必须通过强制升级来解决。 功能开关 所谓的功能开关,就是能够控制app的某些功能...
关于应用程序根证书
ch853199769的博客
12-11 1803
概述: 互联网上传输的任何数据都可以轻而易举的被发送者和接收者之外的第三方所获得。如果敏感的或隐私的数据以明文方式发送,将会造成信息的泄露。例如,网上银行的各种操作,电子商务交易的数据等是不允许交易的第三方获悉的。因此我们需要把数据加密后传输,通常我们称传输加密数据的链接叫做安全链接。 安全链接和安全的数据传输面临三个难题:1. 如何确认交易双方不是仿冒的。2. 怎样对数据进行加密。3. 如何保证...
Android证书管理与证书验证
tq08g2z的专栏
03-22 1万+
PKI 体系依赖证书执行极为关键的身份验证,以此确认服务端的可信任性。证书验证在 SSL/TLS 握手过程完成,验证过程通常包含三个步骤: 验证证书的合法性:这一步主要是验证证书是由合法有效的 CA 签发的。在客户端预先保存一个可靠的 CA 的根证书库,比如 FiexFox、Chrome、Android、Microsoft 等都有维护自己的根证书库,并据此验证服务端证书链的合法性。PKI 体...
Android APP之WebView校验SSL证书的方法
08-29
SSL证书校验是指Android APP的WebView组件在访问HTTPS站点时,如何验证服务器提供的SSL证书,以确保数据的安全性和机密性。 在Android系统,WebView组件可能会因为各种原因而无法访问HTTPS站点,例如手机日期不...
最新IOS开发创建开发证书及发布App应用文详解
12-16
创建配置概要文件时,需要选择对应的证书App ID,然后下载并安装到Xcode。 完成以上步骤后,开发者可以开始应用的编译和打包。在Xcode,设置正确的配置概要文件,然后构建项目生成IPA文件,这是应用的最终...
关于移动医疗APP存在的问题及对策分析.pdf
08-26
此外,目前的移动医疗APP,医生与患者之间的沟通渠道并不充分,大部分应用仅能提供基础的健康咨询和建议,而非全面的医疗服务。 其次,质量问题不容忽视。医疗行业本身具有高度的专业性和严谨性,对管理要求严格...
电视台互动APP运用的问题建议.pdf
08-26
电视台互动APP运用的问题建议.pdf
支付宝App支付PHP(证书方式).zip
04-10
在开发过程,对接支付宝服务是常见的任务之一,特别是在构建电子商务应用或者移动支付系统时。本文将详细介绍如何使用PHP和证书方式来实现支付宝App支付及转账功能。我们将主要围绕以下几点展开: 1. **支付宝App...
HTTPHTTPS
ylnzzl的博客
07-19 304
HTTP 超文本传输协议 HTTP概述 HTTP提供了一种发送和接收超文本标记语言(HTML)页面的方法。 HTTP有多个版本,目前广泛使用的是HTTP/1.1版本。 HTTP是一个基于TCP/IP通信协议来传递数据的协议,默认端口是80,一般用于B/S架构。 HTTP允许传输任意类型的数据对象,传输的数据类型用Content-type标记。 HTTP是无状态的,对事务处理没有记忆,不利于客户端和服务器保持会话连接。 HTTP无状态的解决方案 针对HTTP无状态的解决方案有: 1.使用
移动安全-APP证书校验与抓包
道阻且长,行则将至。
10-18 3498
前言 如果你是干web安全的,当你在测试目前大多数的手机APP应用程序时,你一定遇到过burpsuite无法抓到数据包的情况,开始你以为只是https的问题,但是当你使用了burpsuite伪证书也无法抓取到时,你心里除了有句“MMP……”外,你一定也在思考这其的蹊跷。 为什么HTTPS的网站使用伪证书可以抓到,而在APP里面同样的方法就抓不到?答案是:APP启用了SSL Pinning(又叫“...
Android11 预置客户提供的证书cacert.pem
hmily0917的专栏
09-01 1045
可以直接将证书放到system/ca-certificates/files 目录下编译也是可以的,但是回产生cts问题。 正确的方法是预置客户证书(cacert.pem)方法: 命令行执行: openssl x509 -in cacert.pem -noout -subject_hash_old 用生成的哈希值将文件cacert.pem替换为 哈希值.0 将哈希值.0 文件放到 system/ca-certificates/files 目录下 openssl x509 -in cacer...
面试:HTTPS防止抓包的方法
王温暖的博客
12-23 4251
https 可以抓包吗 HTTPS 的数据是加密的,常规下抓包工具代理请求后抓到的包内容是加密状态,无法直接查看。 但是,我们可以通过抓包工具来抓包。它的原理其实是模拟一个间人。 通常 HTTPS 抓包工具的使用方法是会生成一个证书,用户需要手动把证书安装到客户端,然后终端发起的所有请求通过该证书完成与抓包工具的交互,然后抓包工具再转发请求到服务器,最后把服务器返回的结果在控制台输出后再返回给终端,从而完成整个请求的闭环。 如何防止抓包? 对于HTTPS API接口,如何防止抓包呢?既然问题
为你的android App实现自签名的ssl证书https)
热门推荐
彭思正的博客
04-15 3万+
不愿意看啰嗦的可以直接去          实现步骤 最近公司项目用到https的接口形式,对于一般的网络请求 我们用的是http://******      使用的是 代码用来打开一个 http 连接. URL urlConnection = new URL("http://www.codeproject.com/"); HttpURLConnection urlCo
Android安全开发之安全使用HTTPS
AliMobileSecurity的博客
10-08 2047
为了保护用户的信息安全、保护自己的商业利益,减少攻击面,我们需要保障通信信道的安全,采用开发方便的HTTPS是比较好的方式,比用私有协议要好,省时省力。
【网络安全】https与证书原理 | SSL Pinning及其绕过
Juruo@Security
08-05 7713
SSL Pinning | https协议与证书原理
如何解决SSL证书过期以及更换的注意事项?
qq_38477071的博客
04-07 4889
SSL证书是一种可以在网站服务器配置的安全证书。也就是说,在网站配置了该证书之后,网站的安全性可以得到提高。现在许多企业为他们的网站配置SSL证书来保护它们。然而,这种证书有使用期限的,一旦过期了,不再可能保护网站的信息安全。如果你想保护网站信息安全,你需要解决SSL证书过期的问题。那么,应该如何解决呢? 如何解决SSL证书过期是合理的: SSL证书通常使用两年,两年后就要到期了,之所以设置...
保险App用户隐私与个人信息保护的若干隐患.pdf
最新发布
11-29
该报告主要关注保险行业的移动应用(App)在用户隐私和个人信息保护方面存在的问题。复旦大学金融保险消费者权益保护研究团队进行了深入的研究,旨在揭示这些问题并提出改进措施。报告通过分析框架对不同类型的保险...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值