0

我想使用Android的硬件KeyStore功能,所以我使用Pixel3手机获取KeyStore对象的证书链,见这篇文章

.cer例如,查看一个特定文件,CRL 分发点是https://android.googleapis.com/attestation/crl/8F6734C9FA504789.

在浏览器中打开此链接会出现 404 错误。即使调用也会https://android.googleapis.com产生相同的 404 错误。

我尝试使用 Google 的 OAuth2 Playground 进行正确身份验证,但即使来自那里的请求也会返回 404 错误。

另外,在Java中用PKIXParameters类验证证书链时,会抛出CertPathValidationException“无法确定吊销状态”的说法。但是当用 禁用撤销检查时pkix_parameters.setRevocationEnabled(false),链的验证是成功的。

我也不认为这是一个 API 身份验证问题,因为页面返回 404,而不是像在其他端点上那样的“无效项目 ID”。

我的问题主要是我错过了什么,为什么我在尝试获取 CRL 分发点时只得到 404?

4

1 回答 1

0

显然,某些设备的证明证书没有有效的 CRL 分发点。我已经使用不同 Pixel 3 设备的认证证书对此进行了测试,并且还测试了GrapheOS/AttestationSamples中的一些设备。

以下是中间证明证书没有有效 CRL 分发点的设备列表。

+-----------+----------------+
|   samsung |   SM-M205F     |
|   Xiaomi  |   MI 9         |
|   Xiaomi  |   POCOPHONE F1 |
|   OnePlus |   GM1913       |
|   Google  |   Pixel 3a XL  |
|   Google  |   Pixel 3a     |
|   Google  |   Pixel 3      |
|   Google  |   Pixel 3 XL   |
|   HUAWEI  |   AUM-L29      |
+-----------+----------------+
于 2019-08-09T10:50:23.270 回答