有問題,需要社區的幫助。
現在Google data protection中的更改在Google Developer Console中收到警告。 「安全警告 您的應用使用不安全的HostnameVerifier實現。 有關詳細信息,包括解決漏洞的最後期限,請參閱Google幫助中的這篇文章 適用於APK版本3。爲多個主機和自簽名證書自定義HostNameVerifier
我之所以沒有正確使用HostnameVerifier,是因爲我們公司不能爲每位購買我們產品的客戶提供帶有CA證書的簽名 。 (如果他願意,這取決於他的目的) 我們的產品包含一個安全的Web服務(Restful API)以與應用程序進行通信。 因此,對每一個安裝有產生新的自簽名證書,我應該通過應用程序接受,顯然是最簡單的解決辦法是通過禁用 的HostnameVerifier:
private final static HostnameVerifier DO_NOT_VERIFY = new HostnameVerifier() {
public boolean verify(String hostname, SSLSession session) {
return true;
}
};
與不信任所有主機:
private static void trustAllHosts() {
// Create a trust manager that does not validate certificate chains
TrustManager[] trustAllCerts = new TrustManager[] { new X509TrustManager() {
public java.security.cert.X509Certificate[] getAcceptedIssuers() {
return new java.security.cert.X509Certificate[] {};
}
public void checkClientTrusted(X509Certificate[] chain,
String authType) throws CertificateException {
}
public void checkServerTrusted(X509Certificate[] chain,
String authType) throws CertificateException {
}
} };
// Install the all-trusting trust manager
try {
SSLContext sc = SSLContext.getInstance("TLS");
sc.init(null, trustAllCerts, new java.security.SecureRandom());
HttpsURLConnection
.setDefaultSSLSocketFactory(sc.getSocketFactory());
} catch (Exception e) {
e.printStackTrace();
}
}
誰有類似的加密經驗?我應該如何進一步處理我的案子?提前致謝!
感謝羅伯特的詳細解答,我調查了一下。希望這對任何有同樣問題的人都有幫助。 – Artiom