2

你好亲爱的开发者,

我有以下问题:

几个月以来,我一直在使用 OkHTTP 3.6 和 Retrofit 1.9.0 成功使用证书固定。

最近我将使用的 Retrofit 版本更新为 2.3.0 并开始使用 OkHttp 3.8。由于更新,证书固定不再适用于 AN 4.1 和 AN 6.0 之间的设备。

我尝试使用不同的 OkHTTP 版本,但没有运气。此外,我尝试通过 gradle 强制使用特定的 OkHTTP 版本,但这并没有改变任何东西。

这是我们用于固定的代码:

public CertificatePinner provideCertificatePinner(@PinForDomain(DEUTSCHE_POST) final PinnedDomain deutschePost, @PinForDomain(NOVOMIND) final PinnedDomain novomindPin, @PinForDomain(EMMI) final PinnedDomain emmiPin) {
    Log.d(LOG_TAG, "Creating CertificatePinner");
    final CertificatePinner.Builder builder = new CertificatePinner.Builder();
    builder.add("www.url.com", "sha256Key");
    return builder.build();
}

public OkHttpClient provideOkHttpClient(CertificatePinner pinner) {

    Log.d(LOG_TAG, "Creating OkHttpClient");
    final OkHttpClient.Builder clientBuilder = new OkHttpClient().newBuilder();
    clientBuilder.certificatePinner(provideCertificatePinner);
    clientBuilder.connectTimeout(BuildConfig.CONNECTION_TIMEOUT, TimeUnit.MILLISECONDS);
    clientBuilder.writeTimeout(BuildConfig.WRITE_TIMEOUT, TimeUnit.MILLISECONDS);
    clientBuilder.readTimeout(BuildConfig.CONNECTION_TIMEOUT, TimeUnit.MILLISECONDS);
    return clientBuilder.build();
}

所以我尝试了以下事情:

强制使用 TLS v1.2

ConnectionSpec spec = new ConnectionSpec.Builder(ConnectionSpec.MODERN_TLS)  
.tlsVersions(TlsVersion.TLS_1_2)
.cipherSuites(
      CipherSuite.TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,
      CipherSuite.TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,
      CipherSuite.TLS_DHE_RSA_WITH_AES_128_GCM_SHA256)
.build();

OkHttpClient client = new OkHttpClient.Builder() 
    .connectionSpecs(Collections.singletonList(spec))
    .build();

并实现自定义 SSLSocketFactory 强制在 AN 4.1 下的版本中使用 TLS v1.2 根据:https://github.com/square/okhttp/issues/2372

编辑:

为了澄清。Pining 不起作用意味着我能够拦截我的应用程序和后端服务器之间的连接 =>“中间人”。

现在我完全不知道如何解决这个问题。任何帮助表示赞赏。

干杯帕斯卡

4

1 回答 1

1

我发现问题不是由 OKHTTP / Retrofit 引起的,而是由客户端的错误配置引起的。在那个项目中相当新,我并不知道这一切。

很抱歉打扰您,感谢您提供的任何帮助

于 2017-08-18T07:06:10.167 回答