Android SSL Certificate Pinning

http://www.mobilephonedevelopment.com/archives/1762
http://www.tuicool.com/articles/2MVJb2

在SSL/TLS通信中,客户端通过数字证书判断服务器是否可信,并采用证书的公钥与服务器进行加密通信。

然而,在开发者在代码中不检查服务器证书的有效性,或选择接受所有的证书时,这种做法可能导致的问题是中间人攻击。 攻击者可以伪造证书,或者盗用证书,以来达到和客户端建立通信的目地。 目前Google已经针对不验证服务器证书的app给出了警告,这些app将来是会有被Play Store拒之门外的危险的。(参考)[https://support.google.com/faqs/answer/6346016?hl=en]

开发者常见信任所有证书的错误做法

实现一个X509TrustManager接口,将其中的CheckServerTrusted()方法实现为空,即不检查服务器是否可信或者在SSLSoketFactory的实例中,通过setHostnameVerifier(SSLSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIET),接受所有证书。做出这种选择的可能原因是,使用了自己生成了证书,客户端发现证书没有和可信CA 形成信任链,出现 了CertificateException等异常。

使用Apache的HttpClient

public static DefaultHttpClient getHttpClient(int httpPort,
            int httpsPort) {
        try {
            SSLSocketFactory sf = getSocketFactory();
            sf.setHostnameVerifier(SSLSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER);

            HttpParams params = new BasicHttpParams();
            HttpProtocolParams.setVersion(params, HttpVersion.HTTP_1_1);
            HttpProtocolParams.setContentCharset(params, HTTP.UTF_8);
            HttpProtocolParams.setUseExpectContinue(params, true);

            // set connection timeout.
            ConnManagerParams.setTimeout(params, DEFAULT_TIMEOUT);
            HttpConnectionParams.setConnectionTimeout(params,
                    DEFAULT_CONN_TIMEOUT);
            HttpConnectionParams.setSoTimeout(params, DEFAULT_SOCKET_TIMEOUT);
            // set socket buffer size
            HttpConnectionParams.setSocketBufferSize(params,
                    DEFAULT_SOCKET_BUFFER_SIZE);
            // set max connections per host
            ConnManagerParams.setMaxConnectionsPerRoute(params,
                    new ConnPerRouteBean(DEFAULT_MAX_CONN_PER_ROUTE));
            // set max total connections
            ConnManagerParams.setMaxTotalConnections(params,
                    DEFAULT_MAX_CONNECTIONS);

            SchemeRegistry registry = new SchemeRegistry();
            registry.register(new Scheme("http", PlainSocketFactory
                    .getSocketFactory(), httpPort));
            registry.register(new Scheme("https", sf, httpsPort));

            ClientConnectionManager ccm = new ThreadSafeClientConnManager(
                    params, registry);
            return new DefaultHttpClient(ccm, params);
        } catch (Exception e) {
            return new DefaultHttpClient();
        }
    }

    public static void setCredentials(DefaultHttpClient httpClient,
            String host, int port, String realm, String username, String password) {
        httpClient.getCredentialsProvider().setCredentials(
                new AuthScope(host, port, realm, "basic"),
                new UsernamePasswordCredentials(username, password));
    }

重点是在获取SSLSocketFactory,马上贴上代码

    // 获取SocketFactory
    private SSLSocketFactory getSocketFactory() {
      final TrustManager[] trustManagers = new TrustManager[] { new X509TrustManager() {
            @Override
            public void checkClientTrusted(
                    java.security.cert.X509Certificate[] chain,
                    String authType) throws CertificateException {
            }

            @Override
            public void checkServerTrusted(
                    java.security.cert.X509Certificate[] chain,
                    String authType) throws CertificateException {

            }

            @Override
            public java.security.cert.X509Certificate[] getAcceptedIssuers() {
                return null;
            }
        } };

        // Install the all-trusting trust manager
        final SSLContext sslContext = SSLContext.getInstance("TLS");
        sslContext.init(null, trustManagers, new java.security.SecureRandom());
        // Create an ssl socket factory with our all-trusting manager
        return sslContext.getSocketFactory();
    }

使用Square的OKHttp

 private void getOKHttpClient() throws Exception {
        OkHttpClient okHttpClient = new OkHttpClient();
        final TrustManager[] trustManagers = new TrustManager[] { new X509TrustManager() {
            @Override
            public void checkClientTrusted(
                    java.security.cert.X509Certificate[] chain,
                    String authType) throws CertificateException {
            }

            @Override
            public void checkServerTrusted(
                    java.security.cert.X509Certificate[] chain,
                    String authType) throws CertificateException {

            }

            @Override
            public java.security.cert.X509Certificate[] getAcceptedIssuers() {
                return null;
            }
        } };

        // Install the all-trusting trust manager
        final SSLContext sslContext = SSLContext.getInstance("TLS");
        sslContext.init(null, trustManagers, new java.security.SecureRandom());
        // Create an ssl socket factory with our all-trusting manager
        final SSLSocketFactory sslSocketFactory = sslContext.getSocketFactory();
        okHttpClient.setSslSocketFactory(sslSocketFactory);

        // Sets the verifier used to confirm that response certificates
        okHttpClient.setHostnameVerifier(new HostnameVerifier() {
            @Override
            public boolean verify(String hostname, SSLSession session) {
                return true;
            }
        });
    }

Certificate Pinning

事实上,在移动软件大多只和固定的服务器通信,因此可以在代码更精确地直接验证是否某张特定的证书,这种方法称为“证书锁定”(certificate pinning)。
实现证书的方法有二种:一种是前文提到的实现X509TrustManager接口,另一种则是使用keystore。

方法一:

实现X509TrustManager接口,在方法checkClientTrusted中可以获取到服务器端的证书,证书里面有包括版本号, 序列号, 创建时间,过期时间,公钥,签名等信息,一般情况下我们是那公钥验证。
常规做法是先获取到证书上的公钥,然后hash或者MD5,或者加上其他的处理,当每次请求时在方法checkClientTrusted中获取公钥做同样的处理,比较两次处理后的结果是否一致,如果一直说明访问的Server是可信的,否则是不可信的。

** OKHttp ** 针对Certificate Pinning 做了一个封装,它的原理是,可以对特定的host做证书验证,其实也是验证证书的公钥,不过有自己特定的规则{Public Key}经过Sha1算法hash一下,然后Base64加密一次,然后在结果前面加上字符串"sha1/".

  
  CertificatePinner certificatePinner = new CertificatePinner.Builder()
                    .add("127.0.0.1", "sha1/xxxxx")
                    .build();
            okHttpClient.setCertificatePinner(certificatePinner);
            
  // 在  checkClientTrusted方法中通过以下方法可以获取上面"xxxxx"    的内容 
  Util.sha1(ByteString.of(chain[0].getPublicKey().getEncoded())).base64()           

方法二:

使用keystone, 具体如果使用,且听下回分解。

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 204,732评论 6 478
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 87,496评论 2 381
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 151,264评论 0 338
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,807评论 1 277
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,806评论 5 368
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,675评论 1 281
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,029评论 3 399
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,683评论 0 258
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 41,704评论 1 299
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,666评论 2 321
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,773评论 1 332
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,413评论 4 321
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,016评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,978评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,204评论 1 260
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 45,083评论 2 350
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,503评论 2 343

推荐阅读更多精彩内容

  • 一、作用 不使用SSL/TLS的HTTP通信,就是不加密的通信。所有信息明文传播,带来了三大风险。 (1)窃听风险...
    XLsn0w阅读 10,480评论 2 44
  • 原文地址 http://blog.csdn.net/u012409247/article/details/4985...
    0fbf551ff6fb阅读 3,512评论 0 13
  • 文中首先解释了加密解密的一些基础知识和概念,然后通过一个加密通信过程的例子说明了加密算法的作用,以及数字证书的出现...
    sunny冲哥阅读 1,364评论 0 3
  • 大约六七年前,我第一次到中国科大东区食堂吃饭。我边吃边随意四周看看。离我不远有一位男同学,吃完了站起身来。我有点惊...
    打杂的耶阅读 247评论 0 3