ssl证书合并_APP优雅进行SSL证书校验——(一)服务器篇

最新推荐文章于 2024-06-10 09:34:49 发布
最新推荐文章于 2024-06-10 09:34:49 发布
阅读量539 收藏 1
点赞数
文章标签: ssl证书合并

5ca801a3a3677efa137007f2d9fb795d.png

前言

本方案不会导致证书更换时候APP停服。

因为:

  1. APP不做证书完整校验。只做公钥校验;
  2. 服务器续费证书时候,不更换私钥,所以公钥不变动;客户端可以继续认可新版证书。

本方案的收益:

  1. 证书可以续费,可以和WEB端业务走同一个域名。
  2. APP一旦走了抓包(HTTPS的抓包),将会产生一个临时证书,与内置的公钥摘要不匹配,将会直接报错。很大程度上保证了APP的API请求不被截获篡改。再结合一些混淆服务,让dex文件不可读,API业务对接不做任何验签加密即可用于生产,减少研发投入。

在前面 为什么不推荐APP使用SSL-PINNING? 这篇文章,笔者提到了APP的证书校验的几种方式:

  1. 不校验
  2. 系统信任证书校验
  3. 公钥校验 ssl public key pinning
  4. 证书全内容校验 ssl certificate pinning

笔者推荐2和3两种。在我最近做的项目采取了第3种方案。

本篇和接下来的2篇文章将详解在真实生产项目中,我和同事对接详细流程和一些可复用的经验。

准备工作

1. SSL服务器证书。如果还没有采购证书,申请即可。我推荐let's encrypt证书(90天一续期)。申请方式见 https://imququ.com/post/letsencrypt-certificate.html

流程

1. 提取证书的公钥

openssl rsa -in certificate.crt -pubout > public_key.pub

2. 将 public_key.pub 内的 ---begin public key------end public key--- 去除,并合并成一行

cat public_key.pub | grep -v 'PUBLIC' | awk '{printf("%s",$0)}'

得到的输出类似

MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMI...

3. 利用2命令输出的结果,然后 计算sha256摘要 (下载pubkey-sha256.py)

python pubkey-sha256.py MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMI...

得到的输出类似

SHA256:S8Ff3JCaO4V...

将开头的 SHA256: 改成 sha256/ ,得到

sha256/S8Ff3JCaO4V...

将此字符串给到安卓和iOS端,并按照后续文章进行编码:

后续

1. APP优雅进行SSL证书校验——(二)安卓篇

2. APP优雅进行SSL证书校验——(三)iOS篇 [文章未完成]

参考及引用

1. 如何正確設定 AFNetworking 的安全連線 « Nelson 寫些 iOS 開發的東東

2. https://gist.github.com/StevenMaude/f054064ede8c9e781ed8

3. CertificatePinner (OkHttp 3.10.0 API)

weixin_39738273
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Android SSL证书验证原理
08-25
Android SSL验证原理
APP中https证书有效性验证引发安全问题(例Fiddler可抓https包)
数据轨迹的专栏
05-04 1万+
前言: 在实际项目代码审计中发现,目前很多手机银行虽然使用了https通信方式,但是只是简单的调用而已,并未对SSL证书有效性做验证。在攻击者看来,这种漏洞让https形同虚设,可以轻易获取手机用户的明文通信信息。 手机银行开发人员在开发过程中为了解决ssl证书报错的问题(使用了自己生成了证书后,客户端发现证书无法与系统可信根CA形成信任链,出现了 CertificateExcepti
探秘Instagram SSL Pinning Bypass:网络安全的新工具
最新发布
gitblog_00089的博客
06-10 253
探秘Instagram SSL Pinning Bypass:网络安全的新工具 项目地址:https://gitcode.com/Eltion/Instagram-SSL-Pinning-Bypass 在数字时代,网络隐私和安全成为我们日常生活中至关重要的问题。对于Instagram这样的社交媒体巨头而言,SSL(Secure Socket Layer)加密和Pinning技术被广泛用于保护用户的...
Android证书有效性验证方案
我的专栏
09-30 3220
SSL劫持攻击: 目前虽然很多Android APP使用了https通信方式,但是只是简单的调用而已,并未对SSL证书有效性做验证。在攻击者看来,这种漏洞让https形同虚设,可以轻易获取手机用户的明文通信信息,攻击示意图如下:
Https证书校验不当引起的安全问题
Hubert的博客
02-16 1万+
1. 使用Webview进行HTTPs通信Android系统内置了一些可信机构办法的证书,可用于作HTTPs证书校验。实际上,使用Webview组件进行HTTPs通信,其证书验证环节也是系统默认会去做的。若发现证书不合法,Webview将显示一个空白页面,其错误在onReceivedSslError()这个方法里进行处理。使用Webview进行HTTPs通信应当遵循如下安全规范: 1) on
android HTTPS未校验服务器证书漏洞修复
kyzycyey的专栏
04-10 1849
上述代码是重写了域名校验的逻辑,每个证书里携带的域名是不可更改的,如果证书是合法的证书签发机构签发的,并且域名是和你要请求的域名对的上的,基本上就能确认你访问就服务器地址就是要访问的服务器地址,这样才是安全的。上述代码就是重新了证书校验的逻辑,信任所有的证书,正确的逻辑是要校验证书是否是可信任的证书签发机构所认证的,如果不校验的话你虽然是用了https加密传输,只要你的客户端用户信任了其他的证书哪怕是非法的证书,一样能够请求通过,而这个证书服务器就可以解密你的报文,拿到你的隐私信息了。
Android APP之WebView校验SSL证书的方法
08-29
在处理SSL错误时,需要对服务器证书进行校验,如果服务器传入证书的指纹(sha256)与记录值一致,说明WebView验证过程存在缺陷(如:手机日期错误、根证书被删除 等),忽略SSL错误;如果证书匹配失败,表明数据...
iOS适配https证书问题(AFNetworking3.0为例)
08-31
这个方法创建了一个AFSecurityPolicy实例,设置了证书校验模式为AFSSLPinningModeCertificate,并指定了证书数据。`allowInvalidCertificates`和`validatesDomainName`的设置可以根据你的项目需求调整。 最后,你...
increment_app
03-30
在“increment_app”这个项目中,我们可以推测它是一个关于如何实现应用增量更新的示例或框架,可能专注于Java平台。在这个场景下,我们将深入探讨Java环境下应用增量更新的关键技术和相关知识点。 首先,增量更新...
APP_download
09-22
在移动应用开发中,"APP下载"是一个关键的环节,涉及到客户端与服务器之间的通信、文件的传输以及本地存储。下面将详细阐述这个过程中的主要知识点。 1. **HTTP/HTTPS 协议**:大多数APP下载过程是通过HTTP或更安全...
Android Https证书过期解决方案
gofind
11-14 944
Android Https证书过期解决方案
Android HTTPS、TLS版本支持相关解决方案
热门推荐
s003603u的专栏
12-29 2万+
解决4.xAndroid系统在进行HTTPS访问时报javax.net.ssl.SSLProtocolException的问题
面试官系列 - https 真的安全吗,可以抓包吗,如何防止抓包吗
徐公,微信公众号同名
07-16 1万+
文章目录前言背景什么是 https什么是SSLhttps 的连接过程证书验证阶段数据传输阶段https 的加密方式是怎样的,对称加密和非对称加密,为什么要这样设计内容传输为什么要使用对称机密https 是绝对安全的吗什么是中间人攻击https 是如何防止中间人攻击的浏览器是如何确保CA证书的合法性?https 可以抓包吗扩展如何防止抓包?预置证书/公钥更新问题小结 往期文章 Android 面试必备 - http 与 https 协议 Android 面试必备 - 计算机网络基本知识(TCP,UDP,Htt
android https 证书过期变更,使用自定义证书的Android https连接
weixin_42150745的博客
05-27 544
我想使用位于p12包中的自定义证书进行https连接。我已经在iPhone上做过了(所以我可以验证,证书服务器等一切正常),但是在Android上遇到了一些问题。使用自定义证书的Android https连接12-13 12:32:44.545:W/System.err的(4407): javax.net.ssl中.SSLHandshakeException: java.security.cer...
Android平台联网的时候遇到SSL证书无效的处理办法
11-11 6519
最近在关注微博开发平台,前几日在腾讯微博开放平台创建了一个应用,中途越到了些问题:   1、关于Oauth授权,第一次接触的时候,也晕了很久,一下子接触了很多新东西,要慢慢消化,不过到最后也都还消化的不错。主要有urlencode、basestring、signature、base64encode等。 2、联网。之前一直没有尝试使用过联网,这些一来就闷在哪里。URL、URLConnction
okhttp证书过期自动修改证书方式并再次请求
xss66777学习记录
07-22 1317
问题:由于项目中有直播模块,导致IOS审核一直被卡,都卡了一个多月,所以导致了一个问题,如果HTTPS证书过期了,Ios又升级不了,APP就直接奔溃 解决:检测证书过期,自动降级处理 Android描述:项目由OkHttp3+Retrofit构造,下面代码展示如何检测到证书过期,如何重试该接口,以及如果修改证书 1、使用拦截器检测证书过期,主要是抓SSLHandshakeException 重试接口代码是返回的那句话:return chain.proceed(newRequest); 注意r.
ssl证书过期
安全
05-12 1934
SSL证书验证网站所有者的身份,并为其访问者建立与服务器的安全加密连接。它保护他们的安全和隐私。但SSL证书并非永远有效。与您的驾驶执照或护照一样,SSL证书也有过期日期。过期日期后,服务器的身份不再受信任。
OPENSSL与KeyStore
DavyJonesWang的专栏
11-09 5062
1、OpenSSL实践 工作中需要配置使用SSL来双向认证并通信的FTP服务器,以OpenSSL和Java的keytool为例,来完成证书的制作: d:/openssl/mkcerts>openssl genrsa -out ca.key 1024 创建CA私钥 Loading 'screen' into random state - done warning, not mu
SSL证书过期(即将过期)处理
浪丶荡
03-03 6118
登陆阿里云控制台,检查各种资源使用情况,发现有ssl证书即将过期,过期后意味着绑定的域名不再可以以安全的形式访问。 查看过期证书 找到即将过期的证书,发现有个没有用到的证书,可以先吊销它,另一个待从新绑定证书后也可以吊销 针对即将过期的证书,重新购买一个证书 选择与之前相同的个人免费版 绑定相同的域名 treeclub.cn,注意不要加www,如果加了www.treeclub.cn,绑定...
如何用charles判断 Android App是否使用了证书校验
03-08
您可以使用Charles的SSL Proxying功能来判断Android App是否使用了证书校验。首先,您需要在Charles中启用SSL Proxying,并将其配置为允许所有证书。然后,您需要在Android设备上安装Charles的SSL证书。接下来,您...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值