我在使用 android 4 设备时遇到问题,连接到服务器时收到以下异常:
java.security.cert.CertPathValidatorException:找不到证书路径的信任锚。在 com.android.org.conscrypt.OpenSSLSocketImpl.startHandshake(OpenSSLSocketImpl.java:410) 在 okhttp3.internal.connection.RealConnection.connectTls(SourceFile:319) 在 okhttp3.internal.connection.RealConnection.establishProtocol(SourceFile:283) 在okhttp3.internal.connection.RealConnection.connect(SourceFile:168) at okhttp3.internal.connection.StreamAllocation.findConnection(SourceFile:257) at okhttp3.internal.connection.StreamAllocation.findHealthyConnection(SourceFile:135) at okhttp3.internal.connection .StreamAllocation.newStream(SourceFile:114) 在 okhttp3.internal.connection.ConnectInterceptor.intercept(SourceFile:42) 在 okhttp3.internal.http.RealInterceptorChain。
服务器证书来自 Cloudflare,我使用https://www.digicert.com/help/等几个工具进行了检查,看起来还可以。
但由于某种原因,我不明白它在 Android 4 版本中开始失败。
尝试了信任所有证书的解决方案[LINK]并且它有效,但这显然存在安全问题,例如将您的应用程序暴露于“中间人”攻击
final TrustManager[] trustAllCerts = new TrustManager[]{
new X509TrustManager() {
@Override
public void checkClientTrusted(java.security.cert.X509Certificate[] chain, String authType) throws CertificateException {
}
@Override
public void checkServerTrusted(java.security.cert.X509Certificate[] chain, String authType) throws CertificateException {
}
@Override
public java.security.cert.X509Certificate[] getAcceptedIssuers() {
return new java.security.cert.X509Certificate[]{};
}
}
};
final SSLContext sslContext = SSLContext.getInstance("SSL");
sslContext.init(null, trustAllCerts, new java.security.SecureRandom());
final SSLSocketFactory sslSocketFactory = sslContext.getSocketFactory();
okHttpBuilder.sslSocketFactory(sslSocketFactory, (X509TrustManager) trustAllCerts[0]);
如何实现具有默认行为但仅将服务器证书列入白名单的 TrustManager。
谢谢
编辑:按照OkHttp@CustomTrust的示例(感谢 CommonsWare)
使用了命令:
openssl s_client -showcerts -servername www.serverdomain.com -connect www.serverdomain.com:443
在证书链给了我两个格式的证书:
-----BEGIN CERTIFICATE-----
....
-----END CERTIFICATE-----
将示例中的 url 和证书替换为获得的,但仍然无法正常工作,有什么想法吗?