从官方 Android 文档中可以清楚地看出,针对 API 级别 24 或更高级别的应用程序不信任用户证书颁发机构 (CA)。因此,在设置中将根 CA 添加到用户 CA 不应更改尚未覆盖网络安全配置的应用程序的行为。
我们的Xamarin应用程序具有未添加/更改<trust-anchors>标签的网络安全配置:
<network-security-config>
<base-config cleartextTrafficPermitted="false">
</base-config>
</network-security-config>
...然而,当我们在操作系统设置中安装用户 CA 时,应用程序将信任它来连接后端服务。
编辑:我们已经使用 apktool 对最终的 APK 进行了逆向工程,并确保生成的清单仍然指向具有预期内容的网络安全配置,并且确实这样做似乎没有问题。
Android 文档不准确吗?