Question

我正在使用下面的证书固定代码，该代码已经使用了一段时间（为简便起见，错误处理已被删除）：

private static SSLContext _ssl_context = null;

public static SSLSocketFactory get_ssl_socket_factory(Context context)
{
    if (_ssl_context != null) {
        return _ssl_context.getSocketFactory();
    }

    KeyStore keystore = get_keystore(context);
    try
    {
        TrustManagerFactory tmf = TrustManagerFactory.getInstance("X509");
        tmf.init(keystore);
        _ssl_context = SSLContext.getInstance("TLS");
        _ssl_context.init(null, tmf.getTrustManagers(), null);
        return _ssl_context.getSocketFactory();
    }
    catch (GeneralSecurityException e) {
        // ...
    }
}

这是official documentation提供的或多或少的代码。然后按如下方式使用SocketFactory：

if ("https".equals(target.getProtocol()) &&
    "example.com".equals(target.getHost()) &&
    huc instanceof HttpsURLConnection)
{
    ((HttpsURLConnection) huc).setSSLSocketFactory(
            SSLHelper.get_ssl_socket_factory(this));
}

当我在Android 8设备上运行此代码时，一切正常。但是，在我的Android 9模拟器上，会引发异常：

E/App: https://example.com/page.html could not be retrieved! (Hostname example.com not verified:
            certificate: sha1/VYMjxowFaRuZpycEoz+srAuXzlU=
            subjectAltNames: [])
        javax.net.ssl.SSLPeerUnverifiedException: Hostname example.com not verified:
            certificate: sha1/VYMjxowFaRuZpycEoz+srAuXzlU=
            subjectAltNames: []
            at com.android.okhttp.internal.io.RealConnection.connectTls(RealConnection.java:201)
            at com.android.okhttp.internal.io.RealConnection.connectSocket(RealConnection.java:149)
            at com.android.okhttp.internal.io.RealConnection.connect(RealConnection.java:112)
            at com.android.okhttp.internal.http.StreamAllocation.findConnection(StreamAllocation.java:184)
            at com.android.okhttp.internal.http.StreamAllocation.findHealthyConnection(StreamAllocation.java:126)
            at com.android.okhttp.internal.http.StreamAllocation.newStream(StreamAllocation.java:95)
            at com.android.okhttp.internal.http.HttpEngine.connect(HttpEngine.java:281)
            at com.android.okhttp.internal.http.HttpEngine.sendRequest(HttpEngine.java:224)
            at com.android.okhttp.internal.huc.HttpURLConnectionImpl.execute(HttpURLConnectionImpl.java:461)
            at com.android.okhttp.internal.huc.HttpURLConnectionImpl.connect(HttpURLConnectionImpl.java:127)
            at com.android.okhttp.internal.huc.DelegatingHttpsURLConnection.connect(DelegatingHttpsURLConnection.java:89)
            at com.android.okhttp.internal.huc.HttpsURLConnectionImpl.connect(HttpsURLConnectionImpl.java:26)
            at ...

似乎Android 9中发生了一些变化，但是到目前为止，我还没有找到有关此行为的任何信息。我的想法如下：

也许已不赞成使用这种方式进行证书固定
也许Android 9将不再使用SHA1证书来验证域

还有其他想法吗？

Answer 1

我只是遇到了同样的问题。根据Android 9更改日志，对于没有SAN的证书，这是预期的：

RFC 2818描述了两种将域名与证书进行匹配的方法-使用subjectAltName（SAN）扩展名中的可用名称，或者在没有SAN扩展名的情况下使用commonName（CN）。

但是，RFC 2818中不推荐使用CN，因此，Android不再使用CN。要验证主机名，服务器必须出示具有匹配SAN的证书。不再包含不包含与主机名匹配的SAN的证书。

来源： Hostname verification using a certificate

Answer 2

要验证主机名，服务器必须出示具有匹配SAN的证书。不再包含不包含与主机名匹配的SAN的证书。

我的查询是，证书是否是*.mydomain.com域的通配符，例如online.mydomain.com。 SAN *.mydomain.com是否可以工作，或者不再支持通配符？

SSL证书固定无法在Android 9上正常工作

2 个答案: