如何在我的 Android 应用程序中更新 SSL 证书？

Posted 2023-02-24

【中文标题】如何在我的 Android 应用程序中更新 SSL 证书？

【英文标题】：How do I update the SSL cert in my android apps?

【发布时间】：2014-06-13 03:25:39

【问题描述】：

最近我在从事实施 SSL 的项目。

SSL 证书每年过期一次。在我更新服务器上的证书后，它会在 android 中引发异常。

06-13 11:20:27.709: D/allenj(30076): javax.net.ssl.SSLHandshakeException: java.security.cert.CertPathValidatorException: 找不到证书路径的信任锚。

查看项目代码后，我看到有一个bks文件，那么，是否意味着我必须每年更新一次bks文件，并且我必须将应用程序重新上传到google play。

问题是应对SSL证书更新的标准方法是什么？感谢您的帮助。

代码提取

nnable Register_runnable = new Runnable()
        @Override
        public void run() 
            EditText emailText = (EditText) findViewById(R.id.editText1regist);

            EditText pwText = (EditText) findViewById(R.id.editText2registpw);

            String end = "\r\n";
            String twoHyphens = "--";
            String boundary = "*****";
            try 
                KeyStore keyStore = KeyStore.getInstance("BKS");
                InputStream in =  
                getResources().openRawResource(R.raw.ballooncardbks);
                keyStore.load(in, "".toCharArray());
                TrustManagerFactory tmf = 
                TrustManagerFactory.getInstance("X509");
                tmf.init(keyStore);

                SSLContext context = SSLContext.getInstance("TLS");
                context.init(null, tmf.getTrustManagers(), null);

                String actionUrl = "https://app.ballooncard.com/api/client/register/format/json";
                URL url = new URL(actionUrl);
                HttpsURLConnection con = (HttpsURLConnection) url.openConnection();
             //   con.setDoInput(true);
                con.setDoOutput(true);
                con.setUseCaches(false);
                con.setRequestMethod("POST");

                con.setSSLSocketFactory(context.getSocketFactory());

                con.setRequestProperty("Connection", "Keep-Alive");
                con.setRequestProperty("Charset", "UTF-8");
                con.setRequestProperty("Content-Type", "multipart/form-data;boundary=" + boundary);

【问题讨论】：

更新证书后可以防止上述异常吗？谢谢

证书固定是一个很好的安全控制。 在你接受放弃它的建议之前，你应该和一些了解网络安全模型和 PKIX 的安全人员交谈。如果我是您的安全人员，我会拒绝该请求并告诉您更新客户端中的固定证书。

而且您不需要将证书存储在 KeyStore 中（就像它一样隐藏起来）。您可以将其以纯文本形式存储为文件资源，甚至可以将其作为字符串硬编码到您的应用程序中。例如，请参阅Options for Programatically Adding Certificates to Java KeyStore。

顺便说一句....这将返回一个 SSL 上下文（而不是 TLS 独占上下文）：SSLContext.getInstance("TLS")。也应该对其进行强化——协议强化和密码套件强化。例如，将启用 SSLv3，禁用 TLS 1.1 和 1.2。例如，请参阅Which Cipher Suites to enable for SSL Socket?。

【参考方案1】：

看起来该应用正在使用“证书固定”，这意味着已将证书硬编码到应用中，并且已指示该应用仅接受该证书而不接受其他证书。

这增加了安全性，但代价是您需要在证书过期时（最好是在此之前）更新您的应用程序。您可以按照我在此处创建的帖子中的说明进行操作：

https://***.com/a/24007536/276949

从您的证书生成一个新的.bks 文件。完成此操作后，覆盖旧的 .bks 文件，您的应用应该可以通过 SSL 成功连接。

【讨论】：

是的，您可以使用此方法创建“自签名”证书，这意味着您无需付费。但是，您也可以从startssl.com免费获得“官方”证书

使用 StartSSL 免费证书，您不必每年重新发布一次。只需更新服务器上的证书就足够了。但是，在这种情况下，请从您的应用中删除 .bks 自定义证书代码。

真的没有区别。 StartSSL 免费提供它们，但如果您想撤销它，则收费（他们颠倒了标准的商业模式）。所有证书都会过期，因此您最终总是需要更新您的证书服务器端。只有在硬编码以接受特定证书而不接受其他证书时，您才需要更新应用程序。如果证书是“官方”证书，并且您没有将其硬编码到您的应用程序中，那么该应用程序仍会识别它。

是的。有超过 30 家公司可以颁发 SSL 证书。攻击者可以破解其中一个并为您的域创建另一个有效的 SSL 证书（这是证书固定地址）的风险很小。但是，如果您对此不担心（大多数人不担心 Google、Microsoft 等大公司），那么请继续删除它。

不，不应该有任何你需要接触服务器端的代码。