爲多個主機和自簽名證書自定義HostNameVerifier

Question

有問題，需要社區的幫助。
現在Google data protection中的更改在Google Developer Console中收到警告。 「安全警告 您的應用使用不安全的HostnameVerifier實現。 有關詳細信息，包括解決漏洞的最後期限，請參閱Google幫助中的這篇文章 適用於APK版本3。

我之所以沒有正確使用HostnameVerifier，是因爲我們公司不能爲每位購買我們產品的客戶提供帶有CA證書的簽名 。 （如果他願意，這取決於他的目的） 我們的產品包含一個安全的Web服務（Restful API）以與應用程序進行通信。 因此，對每一個安裝有產生新的自簽名證書，我應該通過應用程序接受，顯然是最簡單的解決辦法是通過禁用 的HostnameVerifier：

private final static HostnameVerifier DO_NOT_VERIFY = new HostnameVerifier() { 
    public boolean verify(String hostname, SSLSession session) { 
     return true; 
    } 
}; 

與不信任所有主機：

private static void trustAllHosts() { 
    // Create a trust manager that does not validate certificate chains 
    TrustManager[] trustAllCerts = new TrustManager[] { new X509TrustManager() { 
     public java.security.cert.X509Certificate[] getAcceptedIssuers() { 
      return new java.security.cert.X509Certificate[] {}; 
     } 

     public void checkClientTrusted(X509Certificate[] chain, 
             String authType) throws CertificateException { 
     } 

     public void checkServerTrusted(X509Certificate[] chain, 
             String authType) throws CertificateException { 
     } 
    } }; 

    // Install the all-trusting trust manager 
    try { 
     SSLContext sc = SSLContext.getInstance("TLS"); 
     sc.init(null, trustAllCerts, new java.security.SecureRandom()); 
     HttpsURLConnection 
       .setDefaultSSLSocketFactory(sc.getSocketFactory()); 
    } catch (Exception e) { 
     e.printStackTrace(); 
    } 
} 

誰有類似的加密經驗？我應該如何進一步處理我的案子？提前致謝！

Answer 1

曾聽說過Let's Encrypt CA？ 如果沒有檢查出來。

因此您的陳述「我們公司無法提供與CA證書籤署給我們的每一位客戶」是錯誤的。 您只需將Let's Encrypt客戶端集成到您的產品中，並且所有服務器都將免費提供有效的證書。

無論如何，即使沒有有效的CA，也可以通過簡單的措施使SSL連接即使使用自簽名證書也是安全的。結果將不如真正的SSL證書，但要好得多，因爲「我們禁用SSL/TLS的安全性」方法：

「首次使用時的信任」（類似於SSH的工作方式）。在第一次連接時（可信賴的環境中可以保存）保存服務器提供的SHA-256哈希（或證書本身）並保存。下一次建立連接並執行TrustManager的checkServerTrusted時，您會將葉證書與保存的證書進行比較。