导航:首页 > 操作系统 > androidssl证书验证

androidssl证书验证

发布时间:2023-04-18 09:57:11

1. SSL证书的验证过程

首先服务机构向 CA 申请 SSL 证书,提供企业信息,法人联系方式,域名等等企业信息。CA 机构验证后,会先自己生成一个证书,可以理解为可读的明文。(实际上是一个特定格式的数据文件,明凯但此处为了理激喊唤解做出抽象)
验证通过,生成证书后, CA 机构会对明文证书进行Hash,得到摘要信息,并将摘要信息使用 CA 私钥 进行加密得到数字签名。之后将 证书明文内容+数字签名 返回到服务机构。
当客户端和渗李服务器握手时,服务器将 CA 机构生成的 证书明文内容+数字签名 发送给客户端。客户端通过操作系统或者浏览器内置信任的CA机构找到对应CA机构的公钥对数字签名进行解密,然后采用同样的摘要算法计算SSL证书的摘要,如果自己计算的摘要与服务器发来的摘要一致,则证书是没有被篡改过的!

2. android 手机使用webview 白屏 ssl 不验证证书会有什么后果

webview.setWebViewClient(new WebViewClient() {
@Override
public void onReceivedSslError(WebView view, SslErrorHandler handler, SslError error) {
if (error.getPrimaryError() == SslError.SSL_DATE_INVALID // 日期不正确
|| error.getPrimaryError() == SslError.SSL_EXPIRED // 日期不正确
|| error.getPrimaryError() == SslError.SSL_INVALID // webview BUG
|| error.getPrimaryError() == SslError.SSL_UNTRUSTED) { // 根证书丢失
if (chkMySSLCNCert(error.getCertificate())) {
handler.proceed(); // 如果证书一致,忽略错误
}
}
}

private boolean chkMySSLCNCert(SslCertificate cert) {
byte[] MySSLCNSHA256 = { 35, 76, 110, -121, -68, -104, -12, 84, 39, 119, -55,
101, 95, -8, -90, 9, 36, -108, 5, -57, 76, -98, -19, -73, 91, -37, 18,
64, 32, -41, 0, 109 }; //证书指纹
Bundle bundle = SslCertificate.saveState(cert);
byte[] bytes = bundle.getByteArray("x509-certificate");
if (bytes != null) {
try {
CertificateFactory cf = CertificateFactory.getInstance("X.509");
Certificate ca = cf.generateCertificate(new ByteArrayInputSteam(bytes));
MessageDigest sha256 = MessageDigest.getInstance("SHA-256");
byte[] Key = sha256.digest(((X509Certificate) ca).getEncoded());
return Arrays.equals(key, MySSLCNSHA256);
} catch (Exception Ex) {}
}
return false;
}
}

3. Android HTTPS证书验证的简单方式

近期在做IP切换的HTTPS访问时,遇到了一些问题:客户端如何进行HTTPS的证书验证。
其实对于一般的项目基本都是做的单向验尘搏证,即在客户端证书或者HOST的验证;对于金融、银行相关的项目才会使用的双向验证,客户端与服务端之间都要对彼此进行验证,以防止中间人进行攻击。

本文记录的是:客户端实现对HOST的验证,这样基本满足一般弊轿项目的需求,也不需要客户端内置证书,引起更新时候的麻烦。

上面只是简单的记录验证HOST的方式,下面的文章会让你收获更多。
1. 阿里移动安全:Android安全开发之安全使用HTTPS

2. 浅析HTTPS中间人攻击与证派卜祥书校验

3. Android官方培训课程 : 使用HTTPS与SSL

4. android 手机访问ssl要怎么做客户端认证,需要什么样子的证书格式,证书名称和网站名称不一致怎么解决

可以参考openssl,android自带openssl的库,可以通过ndk调用!

5. 一文弄懂关于证书,签名,ssl,android包签名机制。

所有的概念都基于一个非常重要的基础:

rsa 非对称加密算法

先感受下几个概念

PKI。

PKI是公钥基础设施(Public Key Infrastructure) 包括PKI策略、软硬件系统、证书机构CA、注册机构RA、证书发布系统和PKI应用等。

我们关注就俩东西: PKCS 证书机构CA 。前者是定义加密算法,签名,证书相关的各种事情采用的协议。后者可以为我们颁发权威的证书。

PKCS
PKCS(The Public-Key Cryptography Standards )是由美国RSA数据安全公司及其合作伙伴制定的一组公钥密码学标准,其中包括证书申请、证书更新、证书作废表发布、扩展证书内容以及数字签名、数字信封的格式等方面的一系列相关协议。RSA算法可以做加密、解密、签名、验证,还有RSA的密钥对存储。这些都需要标准来规范,如何输入,如何输出,如何存储等。

PKCS。全称是公钥密码学标准, 目前共发布过 15 个标准,这些标准都是协议。总结一下 就是对加密算法,签名,证书协议的描述。下面列举一些常用的协议,这些协议在本文都会对应上。

这些协议具体的实现就体现在openssl等工具中, 以及jdk工具keytool jdk java第三方库bouncycastle。

比如用openssl 如何生成公/私钥(PKCS#1)、签名(PKCS#1 )、签名请求文件(KCS#10)、 带口令的私钥(PKCS#8)。 含私钥的证书(PKCS#12)、证书库(PKCS#12)

其中涉及到算法的基础协议PKCS#1等,由于涉及到密码学原理所以我们并不需要深究它,只要知道怎么做就可以了。

现实中我们要解决这样一种情况:

客户端和服务器之间的数据要进行加密。需要两个达成同一个对称秘钥加密才行,那么这个秘钥如何生成,并在两边都能拿到,并保证传输过程中不被泄露。 这就用到非对称加密了。 后续的传输,就能用这个 对称秘钥来加密和解密了。

还有这样一个问题:

就是客户端如何判断服务端是否是合法的服务端。这就需要服务端有个id来证明它,而这个id 就是证书,而且必须是权威机构颁发的才能算是合法的。
因为客户端即浏览器,认定证书合法的规则必须通过第三方来确认 即ca颁发的证书。否则就我可能进了一个假网站。

而这两个问题 都是ssl协议要解决的内容。

所以ssl协议做了两件事情,一是验证身份,二是协商对称秘钥,并安全的传输。 而实现这个过程的关键数据模型就是证书, 通过证书中的ca对证书的签名,实现了身份验证,通过证书中的公钥,实现对对称秘钥加密,从而实现数据保密。 其实还顺手做了一件事情就是通过解密签名比对hash,保证了数据完整性。

明白ssl协议 首先明白几个重要的概念:

证书: 顾名思义就是提供了一种在Internet上验证通信实体身份的方式,数字证书不是数字身份证,由权威公正的第三方机构,即CA(例如中国各地方的CA公司)中心签发的证书, 就是可以认定是合法身份的。客户端不需要证书。 证书是用来验证服务端的。

一般的证书都是x509格式证书,这是一种标准的证书,可以和其他证书类型互相转换。完整来说证书包含,证书的内容,包括 版本号, 证书序列号, hash算法, 发行者名称,有效期, 公钥算法,公钥,签名(证书原文以及原文hash一起签名)而这个内容以及格式 都是标准化的,即x509格式 是一种标准的格式。

签名: 就用私钥对一段数据进行加密,得到的密文。 这一段数据在证书的应用上就是 对证书原文+原文hash进行签名。
谁签的名,就是用谁的私钥进行加密。就像身份证一样, 合法的身份证我们都依据是政府签的,才不是假证, 那就是浏览器会有政府的公钥,通过校验(解密)签名,如果能够解密,就可以确定这个就是政府的签名。就对了。

hash算法 :对原始数据进行某种形式的信息提取,被提取出的信息就被称作原始数据的消息摘要。比如,MD5和SHA-1及其大量的变体。 hash算法具有不可逆性,无法从摘要中恢复出任何的原始消息。长度总是固定的。MD5算法摘要的消息有128个比特位,SHA-1算法摘要的消息最终有160比特位的输出。

ca机构: 权威证书颁发机构,浏览器存有ca的公钥,浏览器以此公钥来验证服务端证书的合法性。

证书的获取: 生成证书申请文件.csr(涉及到PKCS#10定义的规范)后向ca机构申请。 或者自己直接通过生成私钥就可以一步到位生成自签名证书。 自签名证书就是用自己的私钥来签名证书。

那么为了体现到 证书身份认证、数据完整、保密性三大特性 ,证书的简化模型可以认为包含以下两个要素:服务器公钥,ca的签名(被ca私钥加密过的证书原文+原文hash),

身份认证:
浏览器存有ca公钥,用ca公钥解密网站发给你的证书中的签名。如果能解密,说明该证书由ca颁发,证书合法。 否则浏览器就会报警告,问你是否信任这个证书,也就是这个网站。这时候的证书可以是任何人签发的,可以自己签发的。 但是中间人攻击。 完全伪造新的证书, 这就没有办法了。 所以还是信任证书的时候要谨慎。

数据完整:
如果你信任该证书的话,这时候就会用证书中的公钥去解密签名,如果是ca签发的证书,那么之前就已经通过ca的公钥去解密签名了。 然后得到证书hash,然后在浏览器重新对证书做hash,两者比对一致的话,说明证书数据没有被篡改。

保密性:
使用证书的公钥对对称秘钥加密保证传输安全,对称秘钥生成后,后续的传输会通过对称秘钥来在服务端和客户端的加解密。

那么ssl协议的具体过程就是:

4.网站接收浏览器发来的数据之后 使用自己的私钥校验签名,并对原文进行hash 与解密出的hash 做比对检查完整性。然后发送编码改变通知,服务器握手结束通知(所有内容做hash )。 发送给客户端校验。

5 客户端校验,校验成功后,之后就用 对称秘钥进行通信了。

总共的过程是 c-s-c- s-c 四次握手。

四次握手简单来说分别是:
1.请求获取证书
2.服务端返回证书,客户端验证了证书的合法性和完整性,同时生成了对称秘钥。
3.客户端把加密的 对称秘钥发给服务器。服务器检查真实性和完整性。
4.服务端返回握手结束通知,客户端再检查一次真实性和完整性。

前两次握手是明文, 后两次握手是密文。 所以都要检查身份真实性和数据完整性。

ca的作用:
ca起到一个权威中间人的角色,如果脱离了ca, 那么证书还是证书,还能加密,保证数据完整性。 但是无法应用在客户端去认定服务器身份合法这个场景下。

  

下面就详细说下 脱离了ca签发的证书的应用:
  

自签名证书:

证书如果没有权威机构的签名,就是没有权威机构给你签发身份证。 那么这时候身份认证的场景变了。
这时候的认证场景就变成了,不再是某个官方权威说了算,而是假设第一次碰到这个证书,会认为,这个证书与之捆绑的实体之间是合法的并做记录。如果当这个实体下次捆绑了另一个证书,那么就是非法的。

这种情况常用于android中安装和校验app的时候,会先假设第一次安装的是合法的应用,认定这个app证书中的公钥是合法的公钥。然后通过自签名的证书,校验签名,就能实现后续安装是否合法以及完整性。

android中的如何对app进行身份认定和不被篡改:

android系统在安装app时候会进行校验applicationId,applicationId 不同会认定为不同应用。相同应用,第二次安装会校验证书是否和之前app的证书相同,如果相同则两个包很可能来自同一个身份。 如果证书不同,也就是该包被另一个身份用自己的私钥重新签名过,就会拒绝安装。 然后通过公钥来解密签名,如果能解密,说明身份是ok的。否则拒绝安装。比对解密签名后的hash 与apk包内的cert.sf文件(该文件是apk内所有文件生成的hash文件)是否一致,如果相同则认定为没有被篡改。

android在提交应用商店的问题:

应用商店也会校验 后续的上传和第一次上传时的证书,以及类似上述的后续的一系列校验。防止合法的开发者平台被盗后,上传非法应用。

android在接入第三方sdk的问题:

接入第三方sdk 会提交applicationId 和 sha1 值。 这个sha1值就是对 证书原文的签名后的sha1,也就是证书指纹。这个证书是证书库里最初的那个证书(x509格式),而不是对apk签名后生成的证书(PKCS#7)。一般的证书签名的主体是证书原文本身,而对apk签名还额外会对apk所有文件生成的hash值文件(cert.sf)进行一次签名。

第三方平台会记录 applicationId 与sha1 的对应关系。 当有假冒app试图接入时候,由于会对app内的PKCS#7证书转换为原始的x509格式证书,重新生成sha1值,与用户提交sha1 比对, 如果相同则说明证书很可能是ok的。 因为sha1就是证书的指纹。 之后就会通过证书中的公钥来校验签名,从而最终确认身份合法性以及信息完整性。

第三方平台之所以需要用户去提交证书指纹sha1值,多了这一步,就意味着你的证书是可以更换的,一旦更换了证书,就必须提交新的指纹给我,然后我来做匹配。而应用商店没有这个功能, 一旦你的证书的私钥丢了, 那就必须重新建一个新的app。

总结来看证书的身份认定机制:

在ssl协议下,这种场景是 浏览器用于认定合法的服务器身份。 在自签名证书下,需要用户选择是否信任该证书。

在android app采用自签名证书的场景下, 证书起到了 假设第一次的证书合法,公钥合法,后续如果证书不一致或不能够完成签名校验,就是非法。

证书库:

证书库应该满足PKCS#12协议。 但是jdk提供了制作证书的工具keytool 可以生成keystore类型的证书库,后缀为jks。 keystore pk12可以通过keytool命令互相转换。

证书库是个证书的容器, 可以用来创建数字证书。 在keystore证书库中,所有的数字证书是以一条一条(采用别名alias区别)的形式存入证书库的。证书库中的证书格式为pk12,即包含私钥。 如果导出证书的话, 可以导出为x509不包含私钥的格式 或者pk12包含私钥的证书。 也可以也可以用-import参数加一个证书或证书链到信任证书。

android中一般都采用读取证书库的方式,通过证书库来创建一个证书,通过alias来区分。 所以在签名的时候,一个alias是一个证书,不同的alias是不同的证书,不要搞错了。

几个关系:

证书和非对称加密算法的关系:
证书代表一个身份的主体,包含了非对称秘钥体系中的公钥,以及用私钥对证书签名。这种组织结构,把非对称加密算法从加密的功能,拓宽到了用于身份认证,信息完整性上。这体现在了证书的作用。 本质还是利用了非对称加密算法的特性。

ssl协议和证书的关系。
因为证书解决了客户端对服务器的身份认证(自签名证书除外),同时也解决了加密,和信息完整性,所以ssl协议基于证书来实现。

6. ssl证书的验证过程

SSL证书最快的方式是DV验证,只需对域的所有权认证就可以了郑链,以下蚂老是DV型证书的三种验证方式,大概分为3个类型验证,只要选择其中一种方式就可以了:网页喊物孙链接

7. Android中https单向认证的总结

我们都知道使用fiddler抓取app的数据包,不管是http还是https请求,都能轻松抓取,此时对客户端来说,fiddler是一个服务端,对服务端来说,fiddler就变成了一个客户端,查了下资料,这种方式称为“中间人攻击”,怎么才能防止https中的“中间人攻击”呢,工作中也用到了https,所以想深入研究一下这个问题,当然每个问题如果深挖的话,都需要很多知识的支持,所以这个过程有些地方是自己的理解,难免有些偏差,有问题,咱们讨论区见。

平时我们说的单项认证,一般指的是客户端对服务端的认证,当客户端向服务端发送请求时,服务端会把自己的证书信息发给客户端,这个证书信息包括服务端的公钥、有效时间、有效地址和CA的数字签名等信息,所以客户端需要与预埋一个证书,这样我们可以拿本地证书和服务端发送的证书进行信息匹配,完成认证的过程(在使用fiddler抓包时,需要事先安装的证书就是为了完成这个客户端对服务端的认证过程,而且这个证书应该不是正规的CA机构颁发的证书,而是fiddler自己生成的证书)。

1.获取客户端预埋的服务器端的证书对象

2.生成符合x509标准的证书

3.将证书导入到本地的证书密钥库中去

4.使用本地密钥库初始化信任管理器中去

5.使用信任管理器得到X509TrustManager

6.使用X509TrustManager校验服务端的证书,此方法不报异常即使校验成功

GitHub,SSLHelper5.java

8. 安卓应用怎么跳过https证书验证

无法跳过的,目前除了安卓,苹果也是同样,必须HTTPS加密要求。

除非了要实现HTTPS,必须达到ATS安全,SSL证书获取:网页链接

9. 手机出现SSL怎么解决

随着网络安全的普及,大多数人都知道网站要森乱确保安全需要安装SSL证书,但却不知道手机里的应用也是需要SSL证书保护的。手机应用要确保安全的话,也需要安装https证书,这样才能使用户的访问更安全,手机应用中的数据更安全。不过,手机证书有时也会出现证书错误,比如Android手机SSL证书连接错误,下面就来看看怎样修复这些错乱谈误。

怎样修复Android手机上的SSL连接错误?

当你在Android手机上接收到SSL证书错误信息提示时,如下图所示,你需要检查修复此SSL连接错误。

这里有五种方式可以帮助你解决这个问题。如果一种不行,请尝试下一个。

1.) 更正Android设备上的日期和时间

手机SSL证书连接时,最容易出现的就是日期和时间的错误,解决这一问题的方法非常简单,只要选择“设置”并选择“日期&时间”,进入这一界面后,激活“自动更新日期&时间”选项,在这里就可以对时间和日期进行修改了。

2.) 清除Chrome上的浏览数据

如果修改日期&时间这种方法无效,你可能需要清除你的浏览数据。这是另一种简单的方式。首先打开Chrome,点击"菜单"选项,然后转到"隐私"并选择"设置",然后选择“清除浏览数据”,检查屏幕上所有的勾选框,然后点击“清除”。

3.) 更改WiFi连接

如果以上两种方法都不起作用,请试着更改你的设备上的WiFi连接。如果你登录的是公共的WiFi,则可能存在不安全的情况。所以请连接一个私有的WiFi,然后查看Android错误是否得到了修复。

4.) 暂时禁用杀毒软件

如果你已经在你的Android手机上安装了杀毒软件或安全应用程序,请暂时禁用此类程序软件,然后再开始浏览网页。有时,哗春碰这些杀毒app可能会干扰你的浏览器,使它们不能进行SSL连接。

5.) 重置你的Android设备

如果以上所述方法都不能解决SSL证书错误连接的问题,你还可以选择重置你的Android设备。不过这个方法有一定风险性,为了防止你丢失存储的东西,建议在重置设备之前备份您的手机数据,然后选择重置工厂数据就可以解决连接问题。

10. android webservice https 怎么进行ssl双向验证

1)客户对服举颂务器的身份认证:
SSL服务器允许客户的浏览器使用标准的公钥正晌郑加密技术和一些可靠的认谨袜证中心(CA)的证书,来确认服务器的合法性。

2)服务器对客户的身份认证:
也可通过公钥技术和证书进行认证,也可通过用户名,password来认证。

3)建立服务器与客户之间安全的数据通道:
SSL要求客户与服务器之间的所有发送的数据都被发送端加密、接收端解密,同时还检查数据的完整性。

阅读全文

与androidssl证书验证相关的资料

热点内容
网件dlna媒体服务器怎么加密 浏览:747
游戏问题反馈提到的服务器是什么 浏览:654
单片机嵌入式应用的在线开发方法 浏览:230
暴风影音压缩视频 浏览:565
程序员一般用什么轴 浏览:3
android垂直循环滚动 浏览:164
迅雷自动开启文件夹 浏览:801
服务器爆满怎么才能快速进去 浏览:65
linux查看cpu是几核的 浏览:166
android赛风 浏览:228
程序员面试经历 浏览:985
苹果怎么设置app只用数据 浏览:857
学以为己pdf 浏览:232
为什么安卓手机进步很大 浏览:344
mfc软件加密 浏览:328
ubuntu上传文件命令 浏览:714
合约马丁格尔源码 浏览:972
慕课文件夹名称 浏览:673
用app国潮手帐怎么做 浏览:255
解压娱乐编辑器 浏览:615