不同版本的TLS在Android中的支持情况

最新推荐文章于 2024-05-11 03:49:52 发布
最新推荐文章于 2024-05-11 03:49:52 发布
阅读量2.5w 收藏 17
点赞数 3
分类专栏: 严振杰|Android 文章标签: TLS Https SSLSocket
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yanzhenjie1003/article/details/80202476
版权

版权声明:转载必须注明本文转自严振杰的博客:http://blog.yanzhenjie.com

本文要解决的两类问题:

  1. 在Android4.1-Android5.0的系统上启用TLSv1.1和TLSv1.2
  2. java.lang.IllegalArgumentException: protocol TLSv1.1 is not supported

这两个问题比较具有代表性,在群里面讨论的时候见过的次数也是最多的,因此有些人遇到的问题也许协议名称不一样,但是本质都是类似的。

问题原因和解决思路分析

Android5.0行为变更可以看到Android5.0开始默认启用了TLSv1.1和TLSv1.2,但是从Android4.1开始TLSv1.1和TLSv1.2其实就被支持了,只是默认没有启用而已。

我们最常用到的几种协议是SSLv3、TLSv1、TLSv1.1和TLSv1.2,解决上面两个问题要搞清楚的是这几个协议在Android系统中被支持的情况和被启用的情况,然后我们结合minSdkVersion和targetSdkVersion来选择协议即可,不同版本的Android系统对上述协议的支持情况:

客户端(SSLSocket)的支持情况:

协议被支持(Api级别)被启用(Api级别)
SSLv31–251–22
TLSv11+1+
TLSv1.116+20+
TLSv1.216+20+

服务端(SSLServerSocket)的支持情况:

协议被支持(Api级别)被启用(Api级别)
SSLv31–251–22
TLSv11+1+
TLSv1.116+16+
TLSv1.216+16+

数据来源:https://developer.android.com/reference/javax/net/ssl/SSLSocket

注意:这里说的客户端和服务端不是指Android端和JavaEE端/PHP端(还有Python、.NET等等),是指的在Android开发中的客户端Socket(SSLSocket)和服务端Socket(SSLServerSocket)。

到这里其实已经知道本文开始处的问题的原因了,TLSv1.1和TLSv1.2从Android4.1(Api级别16)开始才被支持,从Android4.4 Wear(Api级别20)才被启用(手机是Android5.0,Api级别21),因此在不同版本的Android系统中会出现需要被启用和启用时报不被支持的问题。

我们可以写一个TLS协议通用的兼容类,在所有的Android中强制启用已经被支持的所有协议,总结一下就是Android8.0及以上系统可以强制启用TLSv1、TLSv1.1和TLSv1.2协议,Android4.1-Android7.1.1系统可以强制启用SSLv3、TLSv1、TLSv1.1和TLSv1.2协议,其它版本系统可以强制启用SSLv3和TLSv1协议。

综上所述,如果开发者使用SSLv3协议,那么minSdkVersion不限制,targetSdkVersion不高于25,并且需要尽快更新为TLSv1.1协议或者TLS1.2协议;如果开发者使用TLSv1.1协议或者TLSv1.2协议,那么minSdkVersion应该不低于16,targetSdkVersion不限制;如果开发者使用TLSv1协议,那么目前不受限制。

本文内容是目前本人了解到的知识,如果有其它更好解决方案或者本文没有讲到的要点请读者在评论中告知!

代码实现

我们需要让SSLSocket启用对应的协议,代码对应的方法是:

SSLSocket#setEnabledProtocols(String[]);

因此我们需要先在不同版本的Android系统中生成不同的协议数组:

private static final String PROTOCOL_ARRAY[];

static {
    if (Build.VERSION.SDK_INT >= Build.VERSION_CODES.O) {
        PROTOCOL_ARRAY = new String[]{"TLSv1", "TLSv1.1", "TLSv1.2"};
    } else if (Build.VERSION.SDK_INT >= Build.VERSION_CODES.JELLY_BEAN) {
        PROTOCOL_ARRAY = new String[]{"SSLv3", "TLSv1", "TLSv1.1", "TLSv1.2"};
    } else {
        PROTOCOL_ARRAY = new String[]{"SSLv3", "TLSv1"};
    }
}

SSLSocket是由SSLSocketFactory负责生成的,我们再写一个SSLSocketFactory的包装类,主要代码如下:

public class TLSSocketFactory extends SSLSocketFactory {

    private static final String PROTOCOL_ARRAY[];

    static {
        if (Build.VERSION.SDK_INT >= Build.VERSION_CODES.O) {
            PROTOCOL_ARRAY = new String[]{"TLSv1", "TLSv1.1", "TLSv1.2"};
        } else if (Build.VERSION.SDK_INT >= Build.VERSION_CODES.JELLY_BEAN) {
            PROTOCOL_ARRAY = new String[]{"SSLv3", "TLSv1", "TLSv1.1", "TLSv1.2"};
        } else {
            PROTOCOL_ARRAY = new String[]{"SSLv3", "TLSv1"};
        }
    }

    private SSLSocketFactory delegate;

    /**
     * 默认构造方法,直接生成启用所有协议的SSLSocket。
     */
    public TLSSocketFactory() {
        try {
            SSLContext sslContext = SSLContext.getInstance("TLS");
            sslContext.init(null, new TrustManager[]{DEFAULT_TRUST_MANAGERS}, new SecureRandom());
            delegate = sslContext.getSocketFactory();
        } catch (GeneralSecurityException e) {
            throw new AssertionError(); // The system has no TLS. Just give up.
        }
    }

    /**
     * 包装SSLSocketFactory的构造方法,让外部生成的SSLScoket启用所有协议。
     */
    public TLSSocketFactory(SSLSocketFactory factory) {
        this.delegate = factory;
    }

    /**
     * 如果是SSLSocket,启用所有协议。
     */
    private static void setSupportProtocolAndCipherSuites(Socket socket) {
        if (socket instanceof SSLSocket) {
            ((SSLSocket) socket).setEnabledProtocols(PROTOCOL_ARRAY);
        }
    }

    // TODO 下面省去每一个createSocket()方法调用setSupportProtocolAndCipherSuites()方法的代码。
}

完整源码我了一段gist放到Github了:https://gist.github.com/yanzhenjie/f7217f3fc0f641d9ef50ca0145a7185c

特别强调:成员变量delegate强烈建议不要更改,原因是客户端使用OkHttp(本人是使用okhttp-urlconnection时遇到的问题,没有测试直接使用OkHttp是否存在问题)时,OkHttp会反射SSLSocketFactory的delegate变量来做一些操作,否则会出现Https请求失败的问题。

写下本文时OkHttp的版本是3.10.0,相关源码地址:
https://github.com/square/okhttp/blob/master/okhttp/src/main/java/okhttp3/internal/platform/Platform.java

版权声明:转载必须注明本文转自严振杰的博客:http://blog.yanzhenjie.com

严振杰
关注
  • 3
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 7
    评论
专栏目录
android版本tls支持,Android 4.2 TLS1.2支持
weixin_34910865的博客
05-26 691
[TOC]背景对比http协议,https对传输内容进行加密,天然的支持防篡改,提升了安全性。https架构1576565338401.png现在越来越多的服务器处于安全的考虑切换HTTPS协议,同时对于安全性较低的协议,TLS1.2以下的协议很多都取消了支持,但是andorid4.2设置是默认不开启TLS1.2,这块从官方文档可以得到信息。Client socket:ProtocolSuppor...
Android 设置客户端支持TLS支持版本
08-09 7351
前:最近做基于XMPP协议的IM,服务端用的是OpenFire,客户端用的Smack包,需要进行TLS加密服务端设置为只支持TLS1.2,可是我开加密的时候客户端总是TLS1,不知为何,最终在stackoverflow找到答案:http://stackoverflow.com/questions/37815995/android-smack-ssl-tls-connection-to-xmpp-e
Androidokhttp3使用详解
08-29
主要介绍了Androidokhttp3使用详解,非常具有实用价值,需要的朋友可以参考下
2024年最全TLS、运输层安全协议(4),2024年最新最新整理
最新发布
2401_84302722的博客
05-11 1163
客户 A 向服务器 B 发送一个明文记录时,对 MAC 密钥 MA 、记录的当前序号和明文记录进行散列运算,鉴别明文记录的完整性(内容和顺序均无误)。(5)客户 A 用 B 的公钥 PKB 对主密钥 MS 加密,得出加密的主密钥 PKB(MS),发送给服务器 B。·s 代表 security,表明现在使用的是提供安全服务的 HTTP 协议(TCP 的 HTTPS 端口号是 443,而不是平时使用的端口号 80)。·在发送方,TLS 接收应用层的数据,对数据进行加密,然后把加密后的数据送往 TCP 套接字。
Android实现SSL Socket双向认证
走马川行雪的博客
01-04 4902
1、生成服务端密钥 2、生成服务端证书 3、生成客户端密钥 4、生成客户端证书 5、将server端证书添加到serverTrust_ks.jks文件 6、将client端证书添加到clientTrust_ks.jks文件 (以上生成过程详见:https://blog.csdn.net/weixin_43192102/article/details/122214603) 7、将jks密钥转换为bks格式密钥(因为Android支持.bks格式的密钥文件) ...
android版本tls支持,Android TLS 版本过低造成的问题
weixin_42319865的博客
05-26 2315
8种机械键盘轴体对比本人程序员,要买一个写代码的键盘,请问红轴和茶轴怎么选?由于集成的 SSL版本不同不同 Android 版本的默认 SSL/TLS 版本配置如下表:ProtocolSupported (API Levels)Enabled by default (API Levels)SSLv31–TBD1–22TLSv11+1+TLSv1.120+20+TLSv1.220+20+An...
android TLS
10-15
android jni下的pthread tsd(tls)
Android 5.0以下系统支持TLS 1.1/1.2协议版本
知行合一
07-17 2542
一、背景 项目,客户端与服务端之间普遍使用Https协议通信,突然接到测试同事反馈Android5.0以下手机上,App测试服使用出现问题,出现SSL handshake aborted错误信息,但正式服正常。经查,普遍错误信息详情如下: SSL handshake aborted: ssl=0x78f08cd0: I/O error during system call, Connection reset by peer .... 从错误信息上粗略看上去,SSL握手阶段出现问题,连接终止。 二、分析与
tls协议 android 证书,Android TLS1.2双向认证demo
weixin_32259601的博客
05-28 570
【实例简介】Android客户端与PC服务端进行双向认证,基于TLS1.2安全协议,完成双向认证。【实例截图】【核心代码】AndroidTLS双向认证demo├── demo│ ├── AndroidSSLClient│ │ ├── AndroidManifest.xml│ │ ├── AndroidSSLClient.iml│ │ ├── assets│ │ ...
Android TLS1.2双向认证demo
08-15
Android应用开发,安全通信是至关重要的,尤其是在涉及到敏感数据传输时。...在实际开发,还需要关注Android版本兼容性,因为不是所有Android版本都默认支持TLS1.2,可能需要额外的兼容性处理。
android_curl版本支持
01-02
通过以上介绍,我们可以看到`android_curl`版本支持库为Android开发者提供了一种方便的方式来集成和使用`curl`库,使得在Android应用进行复杂的网络操作变得更加简单。不过,需要注意的是,尽管它简化了过程,但...
.NET和Android的加密和解密支持
04-06
总结来说,.NET和Android都提供了强大的加密和解密支持,允许开发者在C#和Java环境实现各种加密算法。在设计和实施加密方案时,开发者应考虑安全性、性能、兼容性和资源限制等因素,以确保数据的充分保护。对于跨...
XMPP协议在Android即时通讯系统的应用.pdf
09-21
2. **安全性**:支持TLS/SSL加密,保障通信安全。 3. **实时性**:基于TCP/IP的连接提供了低延迟的通信体验。 4. **互操作性**:遵循标准的XMPP协议的应用能够无缝通信,打破了平台间的障碍。 【实现与挑战】 在...
Android P 使用默认的 TLS 来保护你的用户
qq_44005305的博客
01-05 283
所有的网络传输都应该被加密,无论它们传输的何种内容,因为任何未加密的连接都可能被攻击并被注入额外内容,让潜在拥有脆弱防护性能的客户端代码更能够被多点击破,或是用来跟踪用户。当然你真的应该在所有链接使用 TLS,但有可能由于历史原因你还是需要使用明文传输,比如连接上一台无人维护的老旧服务器。时刻记住,小心处理你从非安全连接得到的数据,它们可能已经在传输过程被篡改。的一样,我们正在通过阻止目标为 Android P 的应用在默认情况下允许未加密的连接这一行为来进一步改进这些保护措施。来检查其行为可行性。
android tls加密,加密传输才是王道!谷歌在 Android P 上默认启用 TLS
weixin_36342356的博客
06-03 365
原标题:加密传输才是王道!谷歌在 Android P 上默认启用 TLS上周四谷歌表示,为保证用户数据和设备的安全,针对下一代 Android 系统(Android P) 的应用程序,将要求默认使用加密连接,这意味着 Android P 将禁止 App 使用所有未加密的连接,因此运行 Android P 系统的安卓设备无论是接收或者发送流量,未来都不能明码传输,需要使用下一代(Transport ...
Android5.0以下https兼容ssl3的问题
Mr_Tony的专栏
04-27 1315
版本兼容https的问题
Android 4.0- 4.4 不支持TLS v1.1 和TLS v1.2
Lilyli100的博客
11-29 6182
上周后台前置更换了通讯协议为TLV1.2 后,导致客户端android 4.0-4.4系统的手机无法正常登录app, 但是android 5.0以上可以正常使用。 真机测试后发现,android studio报一下的错: W/ System err:Cause by : javax.net.ssl.SSLProtocolException: SSL handshake aborted:ssl=
TLSv1.2 和 TLSv1.3
dualvencsdn的博客
03-06 825
TLS(Transport Layer Security)是一种用于保护网络通信安全的协议,它的版本包括 TLSv1.0、TLSv1.1、TLSv1.2 和 TLSv1.3。总的来说,TLSv1.3 在安全性和性能方面都有所提升,但在某些情况下可能会面临兼容性问题。因此,是否采用 TLSv1.3 取决于具体的需求和场景。
android tls
08-12
AndroidTLS(Transport Layer Security)是一种安全协议,用于在网络通信提供加密和认证。它的作用是保护数据的机密性、完整性和身份验证。 在Android开发,可以使用TLS协议来加密网络连接,以确保数据在传输过程不被窃听或篡改。Android提供了一些API和类来支持TLS协议的使用,例如javax.net.sslSSLSocketSSLContext类。 要使用TLS协议进行安全通信,您需要创建一个TLS连接,并使用SSLContext类来配置TLS参数。然后,您可以使用SSLSocket类来建立与服务器的安全连接,并通过该连接发送和接收数据。 以下是一个简单的示例代码,展示了如何在Android使用TLS协议进行安全通信: ```java try { // 创建SSLContext对象,并指定TLS协议 SSLContext sslContext = SSLContext.getInstance("TLS"); // 初始化SSLContext对象 sslContext.init(null, null, null); // 创建SSLSocketFactory对象 SSLSocketFactory socketFactory = sslContext.getSocketFactory(); // 创建URL对象 URL url = new URL("https://example.com"); // 打开HTTPS连接 HttpsURLConnection connection = (HttpsURLConnection) url.openConnection(); // 设置SSLSocketFactory connection.setSSLSocketFactory(socketFactory); // 发送请求并获取响应 InputStream inputStream = connection.getInputStream(); // 处理响应数据 // ... } catch (Exception e) { e.printStackTrace(); } ``` 这只是一个简单的示例,实际使用可能需要更复杂的配置和处理。您可以根据您的具体需求和服务器配置进行调整和扩展。 请注意,TLS协议的版本和加密算法可以根据您的需求进行配置,以提供更高的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值