AndroidスタジオでAndroidアプリケーションを開発中で、HTTPS接続を確立する必要があります。これまでのところ私は成功しましたが、現在の実装では、すべてのホストを信頼しています。これは簡単に中間者攻撃につながる可能性があります。だから私は、正確な証明書を信頼する方法があるのだろうと思っていました。これまでのところ私のコードは次のようになります。Androidは証明書付きのHTTPSConnectionを確立します
/**
* Trust every server - dont check for any certificate
*/
private void trustAllHosts() {
// Create a trust manager that does not validate certificate chains
TrustManager[] trustAllCerts = new TrustManager[]{new X509TrustManager() {
public java.security.cert.X509Certificate[] getAcceptedIssuers() {
return new java.security.cert.X509Certificate[]{};
}
public void checkClientTrusted(X509Certificate[] chain,String authType) throws CertificateException {
}
public void checkServerTrusted(X509Certificate[] chain,String authType) throws CertificateException {
}
}};
// Install the all-trusting trust manager
try {
SSLContext sc = SSLContext.getInstance("TLS");
sc.init(null, trustAllCerts, new java.security.SecureRandom());
HttpsURLConnection.setDefaultSSLSocketFactory(sc.getSocketFactory());
} catch (Exception e) {
e.printStackTrace();
}
}
そして、私はこのようなHttpsURLConnection
を使用しています:私は、私が欲しいだけ証明書を信頼できるように
private void postText(String URLAddress) {
try {
URL obj = new URL(URLAddress);
HttpsURLConnection con = (HttpsURLConnection) obj.openConnection();
con.setHostnameVerifier(DO_NOT_VERIFY);
con.setRequestMethod("POST");
con.setRequestProperty("User-Agent", "Mozilla/5.0");
int responseCode = con.getResponseCode();
if (responseCode == HttpURLConnection.HTTP_OK) { //success
BufferedReader in = new BufferedReader(new InputStreamReader(
con.getInputStream()));
String inputLine;
StringBuilder response = new StringBuilder();
boolean First = true;
while ((inputLine = in.readLine()) != null) {
if(First)
First=false;
else
response.append("\n");
response.append(inputLine);
}
in.close();
RequestResponse=response.toString();
}
} catch (Exception e) {
e.printStackTrace();
}
}
何をすべきでしょうか?その証明書のために必要な情報と、これを実現するために必要なものは何ですか?あなたが検証を処理したい場合は
おかげ
「公開鍵をピンする」とはどういう意味ですか?質問に関して - 私の会社は、アンドロイドによって信頼されていないCAによって署名された証明書を使用しています(私が理解する限り)。私はそれを信頼すると明示的に言い張る必要があります。私は自分のPCから会社のウェブサイトにアクセスしたとき、Chromeはすべて証明書で問題ないと言いましたが、私の携帯電話からChromeでサイトにアクセスしたとき、証明書が信頼できないと言いました。私のアプリからアクセスすると、例外がスローされます。 –
をピンで固定するには@steffenからの回答を参照してください。しかし、取り消しが苦痛になることを心に留めてください。 – Tom