给定一个使用 httpclient 连接到第三方网站的 Android 应用程序,我如何才能从旧的 Android 设备成功建立 SSL 连接?
早些时候,当前和旧的 Android 版本都可以工作,但第三方网站更改了他们的 SSL 配置。这引发了一个错误,但仅限于较旧的 Android 平台:
System.err: javax.net.ssl.SSLException: Connection closed by peer
System.err: at com.android.org.conscrypt.NativeCrypto.SSL_do_handshake(Native Method)
System.err: at com.android.org.conscrypt.OpenSSLSocketImpl.startHandshake(OpenSSLSocketImpl.java:406)
经过一些研究 ( google issue tracker ),我想我可能会尝试从可用协议(protocol)列表中删除 SSLv3
。我已经能够做到这一点,并且还缩小了密码套件的数量,但仍然存在 SSLException
问题。
使用 httpclient-4.4.1.2
的代码已修补以允许 SNI,并且适用于较新的 Android (API 22),但不适用于较旧的 Android (API 15) 是这样的:
nHttpclient = HttpClientBuilder.create().setRedirectStrategy(new LaxRedirectStrategy()).setDefaultCookieStore(nCookieStore).build();
这是我一直在试验的一些代码。尽管我能够删除 SSLv3,但我仍然无法建立安全连接:
HttpClientBuilder clientBuilder = HttpClientBuilder.create();
SSLContextBuilder contextBuilder = SSLContextBuilder.create();
contextBuilder.useProtocol("TLSv1");
SSLContext sslContext = contextBuilder.build();
clientBuilder.setSslcontext(sslContext);
nHttpclient = clientBuilder.setRedirectStrategy(new LaxRedirectStrategy()).setDefaultCookieStore(nCookieStore).build();
上面的代码将协议(protocol)限制为包括TLSv1
(不再包括SSLv3
。另外,我临时更改了SSLConnectionSocketFactory.createLayeredSocket()
因此套接字仅包含新旧 Android 平台中包含的密码套件。换句话说,我删除了一堆未报告为在新 Android 平台上可用的套件。
因此,限制为 TLSv1
并限制为较新的密码套件,我仍然遇到错误并且无法建立安全连接。
在旧版 Android 上登录:
cz.msebera.android.httpclient.conn.ssl.SSLConnectionSocketFactory: Enabled protocols: [TLSv1]
cz.msebera.android.httpclient.conn.ssl.SSLConnectionSocketFactory: !!Enabled cipher suites:[TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_ECDSA_WITH_RC4_128_SHA, TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_RSA_WITH_RC4_128_SHA, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_DHE_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_RSA_WITH_AES_256_CBC_SHA, TLS_DHE_DSS_WITH_AES_128_CBC_SHA, TLS_DHE_DSS_WITH_AES_256_CBC_SHA, TLS_EMPTY_RENEGOTIATION_INFO_SCSV]
cz.msebera.android.httpclient.conn.ssl.SSLConnectionSocketFactory: Starting handshake
cz.msebera.android.httpclient.impl.conn.DefaultManagedHttpClientConnection: http-outgoing-1: Shutdown connection
cz.msebera.android.httpclient.impl.execchain.MainClientExec: Connection discarded
cz.msebera.android.httpclient.impl.conn.DefaultManagedHttpClientConnection: http-outgoing-1: Close connection
在较新的 Android 上运行相同的代码:
cz.msebera.android.httpclient.conn.ssl.SSLConnectionSocketFactory: Enabled protocols: [TLSv1, TLSv1.1, TLSv1.2]
cz.msebera.android.httpclient.conn.ssl.SSLConnectionSocketFactory: Enabled cipher suites:[TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_DHE_RSA_WITH_AES_128_GCM_SHA256, TLS_DHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_DHE_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_RSA_WITH_AES_256_CBC_SHA, TLS_DHE_DSS_WITH_AES_128_CBC_SHA, TLS_DHE_DSS_WITH_AES_256_CBC_SHA, TLS_ECDHE_ECDSA_WITH_RC4_128_SHA, TLS_ECDHE_RSA_WITH_RC4_128_SHA, TLS_RSA_WITH_AES_128_GCM_SHA256, TLS_RSA_WITH_AES_256_GCM_SHA384, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_256_CBC_SHA, SSL_RSA_WITH_RC4_128_SHA, TLS_EMPTY_RENEGOTIATION_INFO_SCSV]
cz.msebera.android.httpclient.conn.ssl.SSLConnectionSocketFactory: Starting handshake
cz.msebera.android.httpclient.conn.ssl.SSLConnectionSocketFactory: Secure session established
总结
当访问的站点已更新为较新的 SSL/TLS 标准时,使较旧的 Android 平台能够使用 httpclient-4.4.1.2
(或类似的)一定是一个常见问题。
我对 API 15
的实验表明,拥有管理 SNI 的 httpclient 代码,其中 SSLv3
被删除,旧的密码套件被删除仍然 不允许安全连接,而是在 SSL_do_handshake()
中抛出 SSLException
。
如果我试图强制旧 Android 使用 TLSv1.1,我会得到:
java.security.NoSuchAlgorithmException: SSLContext TLSv1.1 implementation not found
我的 research indicates API 15
或更低版本永远不会与 TLSv1.1
和更高版本一起使用,但是 API 16
到 API 19
可能有效,但默认情况下未启用较新的协议(protocol)。 API 20
及更高版本,较新的协议(protocol)默认启用。
要在 API 16
范围内的 Android 操作系统上允许来自 httpclient 的安全连接,需要做什么?
最佳答案
问题是 httpclient-android
代码使用 getEnabledProtocols()
而不是 getSupportedProtocols()
。
work around 我雇用的是获得 source code for smarek httpclient-android ,将其拉入我项目的模块中,删除对 httpclient-android
预构建版本的引用,然后更改 SSLConnectionSocketFactory.java
中的一行:
//final String[] allProtocols = sslsock.getEnabledProtocols();
final String[] allProtocols = sslsock.getSupportedProtocols();
这具有允许连接到我试图通过 API 16、17、18 和 19 访问的第三方网站的效果。
我认为从 API 15 或更低版本访问 TLSv1.1 或 TLSV1.2 是“不可能的”,除非您愿意在 Android 操作系统级别进行一些重大更改。
但这个简单的更改允许在旧版 Android 上运行的应用程序访问不再支持旧版 SSL 和 TLSv1 的网站。
关于android - 在较旧的 Android 平台上使用 cz.msebera.android.httpclient 时防止 SSL_do_handshake 失败,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/43825807/