android 改装主机名未验证
android retrofit Hostname not verified
我获得了为 IP 地址(不是通用名称)颁发的证书,我正在尝试使用该证书连接到服务器。
OkHttpClient.Builder builder = new OkHttpClient().newBuilder();
OkHttpClient okHttpClient = builder.build();
Gson gson = new GsonBuilder()
.setLenient()
.create();
retrofit = new Retrofit.Builder()
.baseUrl(url)
.client(okHttpClient)
.addConverterFactory(GsonConverterFactory.create(gson))
.build();
ServerRouts service = retrofit.create(ServerRouts.class);
Resp_json> call = service.login(param, user, pw);
我得到一个错误:
Hostname 11.8.222.333 not verified:
但是当我使用
builder.hostnameVerifier(new HostnameVerifier() {
@Override
public boolean verify(String hostname, SSLSession session) {
return true;
}
});
然后一切正常。
如何在不关闭主机名验证程序的情况下解决该错误?
P.S。我为 IP (11.8.222.333) 颁发的证书
我重新定义了这样的验证方法(只是从 DefaultHostnameVerifier.java 复制了源代码),现在一切正常。我不知道为什么它不起作用,但现在可以了。
builder.hostnameVerifier(new HostnameVerifier() {
@Override
public boolean verify(String hostname, SSLSession session) {
Certificate[] certs;
try {
certs = session.getPeerCertificates();
} catch (SSLException e) {
return false;
}
X509Certificate x509 = (X509Certificate) certs[0];
// We can be case-insensitive when comparing the host we used to
// establish the socket to the hostname in the certificate.
String hostName = hostname.trim().toLowerCase(Locale.ENGLISH);
// Verify the first CN provided. Other CNs are ignored. Firefox, wget,
// curl, and Sun Java work this way.
String firstCn = getFirstCn(x509);
if (matches(hostName, firstCn)) {
return true;
}
for (String cn : getDNSSubjectAlts(x509)) {
if (matches(hostName, cn)) {
return true;
}
}
return false;
}
});
private String getFirstCn(X509Certificate cert) {
String subjectPrincipal = cert.getSubjectX500Principal().toString();
for (String token : subjectPrincipal.split(",")) {
int x = token.indexOf("CN=");
if (x >= 0) {
return token.substring(x + 3);
}
}
return null;
}
OkHttpClient.Builder 的默认 HostNameVerifier 是 okhttp3.internal.tls.OkHostnameVerifier。看起来这个验证器没有将主机名与对等方证书中的通用名称进行匹配,而只是与主题备用名称进行匹配。此行为是设计使然而不是错误 - 查看此问题:https://github.com/square/okhttp/issues/4966
两个选项解决它:
如果您想继续使用 OkHostnameVerifier,您应该确保您的服务器证书包含主题备用名称。至少重复 SAN 中的通用名称。我发现这个要点有助于这样做:https://gist.github.com/croxton/ebfb5f3ac143cd86542788f972434c96
如果您无法控制服务器证书,您可以使用替代的 HostNameVerifier 实现,它也与证书的 CN 相匹配。 @Rainmaker 的回答 () 中的那个就可以了。我还发现 Apache 的 httpclient 包中的 org.apache.http.conn.ssl.DefaultHostnameVerifier 可以正常工作,而且它的实现可能更彻底。
// instantiate and configure your OkHttpClient.Builder and then:
builder.hostnameVerifier(new org.apache.http.conn.ssl.DefaultHostnameVerifier());
事实上,这是不正确的答案,只是短期修复以避免出现错误。
如果您不需要 HTTPS,我建议采用以下解决方案:
使用 HTTP 而不是 HTTPS
将URL添加到network_security_config.xml文件中并将其放置在res/xml/目录
在清单文件中将以下属性添加到应用程序标签
<申请
...
android:networkSecurityConfig="@xml/network_security_config"
..>
我获得了为 IP 地址(不是通用名称)颁发的证书,我正在尝试使用该证书连接到服务器。
OkHttpClient.Builder builder = new OkHttpClient().newBuilder();
OkHttpClient okHttpClient = builder.build();
Gson gson = new GsonBuilder()
.setLenient()
.create();
retrofit = new Retrofit.Builder()
.baseUrl(url)
.client(okHttpClient)
.addConverterFactory(GsonConverterFactory.create(gson))
.build();
ServerRouts service = retrofit.create(ServerRouts.class);
Resp_json> call = service.login(param, user, pw);
我得到一个错误:
Hostname 11.8.222.333 not verified:
但是当我使用
builder.hostnameVerifier(new HostnameVerifier() {
@Override
public boolean verify(String hostname, SSLSession session) {
return true;
}
});
然后一切正常。
如何在不关闭主机名验证程序的情况下解决该错误?
P.S。我为 IP (11.8.222.333) 颁发的证书
我重新定义了这样的验证方法(只是从 DefaultHostnameVerifier.java 复制了源代码),现在一切正常。我不知道为什么它不起作用,但现在可以了。
builder.hostnameVerifier(new HostnameVerifier() {
@Override
public boolean verify(String hostname, SSLSession session) {
Certificate[] certs;
try {
certs = session.getPeerCertificates();
} catch (SSLException e) {
return false;
}
X509Certificate x509 = (X509Certificate) certs[0];
// We can be case-insensitive when comparing the host we used to
// establish the socket to the hostname in the certificate.
String hostName = hostname.trim().toLowerCase(Locale.ENGLISH);
// Verify the first CN provided. Other CNs are ignored. Firefox, wget,
// curl, and Sun Java work this way.
String firstCn = getFirstCn(x509);
if (matches(hostName, firstCn)) {
return true;
}
for (String cn : getDNSSubjectAlts(x509)) {
if (matches(hostName, cn)) {
return true;
}
}
return false;
}
});
private String getFirstCn(X509Certificate cert) {
String subjectPrincipal = cert.getSubjectX500Principal().toString();
for (String token : subjectPrincipal.split(",")) {
int x = token.indexOf("CN=");
if (x >= 0) {
return token.substring(x + 3);
}
}
return null;
}
OkHttpClient.Builder 的默认 HostNameVerifier 是 okhttp3.internal.tls.OkHostnameVerifier。看起来这个验证器没有将主机名与对等方证书中的通用名称进行匹配,而只是与主题备用名称进行匹配。此行为是设计使然而不是错误 - 查看此问题:https://github.com/square/okhttp/issues/4966
两个选项解决它:
如果您想继续使用
OkHostnameVerifier,您应该确保您的服务器证书包含主题备用名称。至少重复 SAN 中的通用名称。我发现这个要点有助于这样做:https://gist.github.com/croxton/ebfb5f3ac143cd86542788f972434c96如果您无法控制服务器证书,您可以使用替代的 HostNameVerifier 实现,它也与证书的 CN 相匹配。 @Rainmaker 的回答 (
httpclient包中的org.apache.http.conn.ssl.DefaultHostnameVerifier可以正常工作,而且它的实现可能更彻底。
// instantiate and configure your OkHttpClient.Builder and then:
builder.hostnameVerifier(new org.apache.http.conn.ssl.DefaultHostnameVerifier());
事实上,这是不正确的答案,只是短期修复以避免出现错误。 如果您不需要 HTTPS,我建议采用以下解决方案:
使用 HTTP 而不是 HTTPS
将URL添加到network_security_config.xml文件中并将其放置在res/xml/目录
在清单文件中将以下属性添加到应用程序标签
<申请 ... android:networkSecurityConfig="@xml/network_security_config" ..>