1. ホーム
  2. 質問と答え
  3. Androidは証明書付きのHTTPSConnectionを確立します

Androidは証明書付きのHTTPSConnectionを確立します

2016-04-17 9 views
1

AndroidスタジオでAndroidアプリケーションを開発中で、HTTPS接続を確立する必要があります。これまでのところ私は成功しましたが、現在の実装では、すべてのホストを信頼しています。これは簡単に中間者攻撃につながる可能性があります。だから私は、正確な証明書を信頼する方法があるのだろうと思っていました。これまでのところ私のコードは次のようになります。Androidは証明書付きのHTTPSConnectionを確立します

/** 
* Trust every server - dont check for any certificate 
*/ 
private void trustAllHosts() { 
    // Create a trust manager that does not validate certificate chains 
    TrustManager[] trustAllCerts = new TrustManager[]{new X509TrustManager() { 
    public java.security.cert.X509Certificate[] getAcceptedIssuers() { 
     return new java.security.cert.X509Certificate[]{}; 
    } 

    public void checkClientTrusted(X509Certificate[] chain,String authType) throws CertificateException { 
    } 

    public void checkServerTrusted(X509Certificate[] chain,String authType) throws CertificateException { 
    } 
    }}; 

    // Install the all-trusting trust manager 
    try { 
     SSLContext sc = SSLContext.getInstance("TLS"); 
     sc.init(null, trustAllCerts, new java.security.SecureRandom()); 
     HttpsURLConnection.setDefaultSSLSocketFactory(sc.getSocketFactory()); 
    } catch (Exception e) { 
     e.printStackTrace(); 
    } 
}

そして、私はこのようなHttpsURLConnectionを使用しています:私は、私が欲しいだけ証明書を信頼できるように

private void postText(String URLAddress) { 
    try { 
     URL obj = new URL(URLAddress); 
     HttpsURLConnection con = (HttpsURLConnection) obj.openConnection(); 

     con.setHostnameVerifier(DO_NOT_VERIFY); 
     con.setRequestMethod("POST"); 
     con.setRequestProperty("User-Agent", "Mozilla/5.0"); 

     int responseCode = con.getResponseCode(); 

     if (responseCode == HttpURLConnection.HTTP_OK) { //success 
      BufferedReader in = new BufferedReader(new InputStreamReader(
      con.getInputStream())); 
      String inputLine; 
      StringBuilder response = new StringBuilder(); 

      boolean First = true; 
      while ((inputLine = in.readLine()) != null) { 
       if(First) 
        First=false; 
       else 
        response.append("\n"); 
       response.append(inputLine); 
      } 
      in.close(); 

      RequestResponse=response.toString(); 
     } 
    } catch (Exception e) { 
     e.printStackTrace(); 
    } 
}

何をすべきでしょうか?その証明書のために必要な情報と、これを実現するために必要なものは何ですか?あなたが検証を処理したい場合は

おかげ

出典

2016-04-17 Zdravko Donev

答えて

0

は自分で簡単な部分は、公開鍵を固定することです。しかし、あなたは取り消しについて考えなければならず、次にあなたの問題が始まります。

単にデバイスが信頼する証明書を使用していないのはなぜですか?

出典

2016-04-17 17:33:34 Tom

+1

「公開鍵をピンする」とはどういう意味ですか?質問に関して - 私の会社は、アンドロイドによって信頼されていないCAによって署名された証明書を使用しています(私が理解する限り)。私はそれを信頼すると明示的に言い張る必要があります。私は自分のPCから会社のウェブサイトにアクセスしたとき、Chromeはすべて証明書で問題ないと言いましたが、私の携帯電話からChromeでサイトにアクセスしたとき、証明書が信頼できないと言いました。私のアプリからアクセスすると、例外がスローされます。 –

+0

をピンで固定するには@steffenからの回答を参照してください。しかし、取り消しが苦痛になることを心に留めてください。 – Tom

0

私が欲しい証明書だけを信頼できるようにするにはどうすればよいですか?

特定の証明書または公開鍵だけを信頼するプロセスは、証明書のピニングまたは公開鍵のピニングと呼ばれます。既に存在している良い情報をすべて繰り返したくないので、具体的なarticle at OWASPsample code for Androidも含まれています)に向かいましょう。 このリンクがダウンしたり移動したりする場合は、android certificate pinning exampleを検索してください。

出典

2016-04-17 17:57:37

+0

ウェブサイトがダウンした場合のために、可能であればサンプルを入れてください。 – Tom

+0

@Tom: OWASPがダウンすることはほとんどありません。必要に応じてコードを更新する可能性が高くなります。 –

+0

リンクを維持することは帰属のために必須であり、更新の際には有益である。 OWASPはおそらく短時間でダウンすることはありませんが、URLは変更される可能性があります。不確かな場合:https:// stackoverflow。 – Tom

0

あなたがそうであるように、これを行うための正しい方法はが接続されるようにを許可された識別情報であるとして、証明書の対象身元を検証するのではなく、認証プロセスを悪用することです1つの証明書()を信用して更新していますが、更新の際に問題が発生します。

SSLレベルでは、これはハンドシェイクリスナーをインストールすることによって行われます。

HTTPSレベルでは、これはHostnameVerifierをインストールすることによって行われます。

出典

2016-04-17 19:53:09 EJP

関連する問題

 関連する問題