SSL auto-signé de l'acceptation sur Android

Comment puis-je accepter un certificat auto-signé en Java sur Android?

Un exemple de code, ce serait parfait.

J'ai cherché partout sur Internet et bien que certaines personnes prétendent avoir trouvé la solution, soit il ne fonctionne pas ou n'est pas un exemple de code pour le sauvegarder.

InformationsquelleAutor Faisal Abid | 2009-08-01
  1. 37

    J'ai cette fonctionnalité dans exchangeIt, qui se connecte à Microsoft exchange via WebDav. Voici un code pour créer un client http qui va se connecter à l'auto-signé cert via SSL:

    SchemeRegistry schemeRegistry = new SchemeRegistry();
//http scheme
schemeRegistry.register(new Scheme("http", PlainSocketFactory.getSocketFactory(), 80));
//https scheme
schemeRegistry.register(new Scheme("https", new EasySSLSocketFactory(), 443));

HttpParams params = new BasicHttpParams();
params.setParameter(ConnManagerPNames.MAX_TOTAL_CONNECTIONS, 30);
params.setParameter(ConnManagerPNames.MAX_CONNECTIONS_PER_ROUTE, new ConnPerRouteBean(30));
params.setParameter(HttpProtocolParams.USE_EXPECT_CONTINUE, false);
HttpProtocolParams.setVersion(params, HttpVersion.HTTP_1_1);

ClientConnectionManager cm = new ThreadSafeClientConnManager(params, schemeRegistry);

    La EasySSLSocketFactory est ici, et la EasyX509TrustManager est ici.

    Le code pour exchangeIt est open source, et hébergé sur googlecode ici, si vous avez des questions. Je ne suis pas en train de le plus, mais le code devrait fonctionner.

    Noter que depuis Android 2.2 le processus a changé un peu, afin de vérifier cette pour rendre le code ci-dessus.

    • Je ne peux pas obtenir que cela fonctionne. Je reçois IOException: SSL handshake failure: I/O error during system call, Broken pipe 2.2. Savez-vous un moyen de contourner cela?
    • Je n'aime pas faire confiance à TOUT certificat auto-signé. Est-il possible d'ajouter une Autorité de certification afin de prévenir Man-in-the-middle attaques?
    • sont les trois params.setParameter() nécessaire ? Le troisième aura besoin d'utiliser HTTP 1.1
    • peut-on utiliser cette procédure pour la normale et d'hébergement pour facebook applications
    • Comme @NicolasMarchildon dit, c'est dangereux car il expose votre demande à l'homme dans le milieu des attaques. Ici c'est une bonne explication pour vous sur Cert épinglage.
    • Yarger pouvez-vous expliquer pourquoi vous vous êtes inscrit "http" pour le port 80? tnx

    InformationsquelleAutor Brian Yarger
  2. 37

    Comme EJP correctement commenté, "les Lecteurs sont priés de noter que cette technique est radicalement d'insécurité. SSL n'est pas sûr, à moins qu'un utilisateur est authentifié. Voir la RFC 2246."

    Cela dit, voici une autre façon, sans aucune des classes supplémentaires:

    import java.security.SecureRandom;
import java.security.cert.CertificateException;
import java.security.cert.X509Certificate;

import javax.net.ssl.HostnameVerifier;
import javax.net.ssl.HttpsURLConnection;
import javax.net.ssl.SSLContext;
import javax.net.ssl.SSLSession;
import javax.net.ssl.X509TrustManager;

private void trustEveryone() {
    try {
        HttpsURLConnection.setDefaultHostnameVerifier(new HostnameVerifier(){
                public boolean verify(String hostname, SSLSession session) {
                    return true;
                }});
        SSLContext context = SSLContext.getInstance("TLS");
        context.init(null, new X509TrustManager[]{new X509TrustManager(){
            public void checkClientTrusted(X509Certificate[] chain,
                    String authType) throws CertificateException {}
            public void checkServerTrusted(X509Certificate[] chain,
                    String authType) throws CertificateException {}
            public X509Certificate[] getAcceptedIssuers() {
                return new X509Certificate[0];
            }}}, new SecureRandom());
        HttpsURLConnection.setDefaultSSLSocketFactory(
                context.getSocketFactory());
    } catch (Exception e) { //should never happen
        e.printStackTrace();
    }
}
    • Où peut-on appeler cette méthode?
    • Vous serait-il appeler de n'importe où avant d'ouvrir une connexion https. Toute connexion à l'aide de l'URL.openConnection / HttpsURLConnection devrait être touchée.
    • Je ne pouvais pas obtenir toute solution de travail, à l'exception de ce. C'est un terrible hack mais merci.
    • Les lecteurs sont priés de noter que cette technique est radicalement d'insécurité. SSL n'est pas sûr, à moins qu'un utilisateur est authentifié. Voir la RFC 2246.
    • Un hack sans de sécurité est mauvais 🙂
    • C'est une mauvaise idée pour désactiver la vérification SSL.
    • Il accepte tous les CA.nous ne pouvons pas faire comme ça
    • link

    InformationsquelleAutor Chris Boyle
  3. 35

    J'ai fait face à cette question hier, lors de la migration de notre société API RESTful HTTPS, mais à l'aide de certificats SSL auto-signés.

    J'ai cherché partout, mais tous les "corriger", a marqué les réponses que j'ai trouvé se composait de la désactivation de la validation de certificat, clairement écrasant tous les sens du protocole SSL.

    Je suis finalement venu à une solution:

    1. Créer Des Locaux De Stockage Des Clés

      Pour permettre à votre application de valider vos certificats auto-signés, vous devez fournir une coutume keystore avec les certificats d'une manière qui Android peuvent faire confiance à votre point de terminaison.

    Le format de ces personnalisées des fichiers de clés est "BKS" de BouncyCastle, si vous avez besoin de la version 1.46 de BouncyCastleProvider que vous pouvez télécharger ici.

    Vous avez également besoin de votre certificat auto-signé, je vais supposer que c'est nommée self_cert.pem.

    Maintenant la commande pour la création de votre fichier de clés est:

    <!-- language: lang-sh -->

    $ keytool -import -v -trustcacerts -alias 0 \
    -file *PATH_TO_SELF_CERT.PEM* \
    -keystore *PATH_TO_KEYSTORE* \
    -storetype BKS \
    -provider org.bouncycastle.jce.provider.BouncyCastleProvider \
    -providerpath *PATH_TO_bcprov-jdk15on-146.jar* \
    -storepass *STOREPASS*

    PATH_TO_KEYSTORE pointe vers un fichier de votre fichier de clés sera créé. Il ne DOIT PAS EXISTER.

    PATH_TO_bcprov-jdk15on-146.jar.JAR est le chemin d'accès pour le téléchargement .jar libary.

    STOREPASS est votre nouvellement créé de mot de passe du fichier de clés.

    1. Inclure fichier de clés dans votre Application

    Copier le nouveau fichier de stockage des clés de PATH_TO_KEYSTORE à res/raw/certs.bks (certs.bks est juste le nom du fichier; vous pouvez utiliser n'importe quel nom que vous voulez)

    Créer une clé dans res/values/strings.xml avec

    <!-- language: lang-xml -->

    <resources>
    ...
        <string name="store_pass">*STOREPASS*</string>
    ...
    </resources>

    1. Créer un cette classe qui hérite DefaultHttpClient

      import android.content.Context;
import android.util.Log;
import org.apache.http.conn.scheme.PlainSocketFactory;
import org.apache.http.conn.scheme.Scheme;
import org.apache.http.conn.scheme.SchemeRegistry;
import org.apache.http.conn.ssl.SSLSocketFactory;
import org.apache.http.impl.client.DefaultHttpClient;
import org.apache.http.params.HttpParams;
import java.io.IOException;
import java.io.InputStream;
import java.security.*;
public class MyHttpClient extends DefaultHttpClient {
private static Context appContext = null;
private static HttpParams params = null;
private static SchemeRegistry schmReg = null;
private static Scheme httpsScheme = null;
private static Scheme httpScheme = null;
private static String TAG = "MyHttpClient";
public MyHttpClient(Context myContext) {
appContext = myContext;
if (httpScheme == null || httpsScheme == null) {
httpScheme = new Scheme("http", PlainSocketFactory.getSocketFactory(), 80);
httpsScheme = new Scheme("https", mySSLSocketFactory(), 443);
}
getConnectionManager().getSchemeRegistry().register(httpScheme);
getConnectionManager().getSchemeRegistry().register(httpsScheme);
}
private SSLSocketFactory mySSLSocketFactory() {
SSLSocketFactory ret = null;
try {
final KeyStore ks = KeyStore.getInstance("BKS");
final InputStream inputStream = appContext.getResources().openRawResource(R.raw.certs);
ks.load(inputStream, appContext.getString(R.string.store_pass).toCharArray());
inputStream.close();
ret = new SSLSocketFactory(ks);
} catch (UnrecoverableKeyException ex) {
Log.d(TAG, ex.getMessage());
} catch (KeyStoreException ex) {
Log.d(TAG, ex.getMessage());
} catch (KeyManagementException ex) {
Log.d(TAG, ex.getMessage());
} catch (NoSuchAlgorithmException ex) {
Log.d(TAG, ex.getMessage());
} catch (IOException ex) {
Log.d(TAG, ex.getMessage());
} catch (Exception ex) {
Log.d(TAG, ex.getMessage());
} finally {
return ret;
}
}
}

    Maintenant il suffit d'utiliser une instance de **MyHttpClient** comme vous le feriez avec **DefaultHttpClient** pour faire de votre HTTPS requêtes, et il va utiliser et de valider correctement vos certificats SSL auto-signés.

    HttpResponse httpResponse;
HttpPost httpQuery = new HttpPost("https://yourserver.com");
... set up your query ...
MyHttpClient myClient = new MyHttpClient(myContext);
try{
httpResponse = myClient.(peticionHttp);
//Check for 200 OK code
if (httpResponse.getStatusLine().getStatusCode() == HttpURLConnection.HTTP_OK) {
... do whatever you want with your response ...
}
}catch (Exception ex){
Log.d("httpError", ex.getMessage());
}
    • Je ne peux pas croire que quelqu'un a utilisé les mêmes (DefaultHttpClient). J'apprécie vraiment vos efforts, je vais essayer de l'adapter à mon Projet Android. Merci!!!
    • proximamente actualizaré la clase completa con algunas mejoras. || je vais bientôt mettre à jour ma classe avec quelques améliorations.
    • J'ai utilisé une classe très semblable à la vôtre avec quelques mises à jour. C'est celui de stackoverflow.com/questions/4065379/...
    • c'est une bonne réponse, j'ai voté que !!! merci...
    • Créer le fichier de clés pour les connexions sécurisées à l'aide d'un programme téléchargé sur un insécurité connexion manque le point.
    • Je ne comprends pas, j'ai pu téléchargé BouncyCastle sur ssh et toujours à l'insécurité, le point est de garantir la sécurité entre l'App<->Serveur de canal...
    • Je suis à l'aide de votre code dans un projet de ma mine. Je veux savoir si le fichier de clés étape est de simplement faire confiance au certificat sans validation ? Sont vos étapes de ce certificat d'épingler n' ? Aussi, si vous pouviez, s'il vous plaît dites comment la validation de certificat peut être ajouté à votre code ?
    • En gros, cela permet de sécuriser la connexion entre votre serveur et votre appareil, quel que soit votre cert être auto-signé ou délivré par trusthworthy CA. Je pense (peut être à tort) que vous n'avez pas neet de la validation de votre cert, comme vous en avez explicitement demandé et attendons de VOTRE certificat de serveur (le même inclus dans votre application)
    • Le fichier self_cert.pem, c'est le certificat d'auto-signature utilisé par le serveur ? Ou je vais devoir générer un nouveau pour mon application android? Et si c'est la génération de la nouvelle, comment mon serveur de confiance en elle? Existe-il des paramètres qui doit être le même dans les deux certificats auto-signés?
    • oui, c'est le certificat de serveur que l'application de confiance.
    • Ok. Merci beaucoup pour la réponse.
    • Ce qui se passe quand j'ai besoin de renouveler mon certificat? sera-ce encore du travail? Merci
    • Eh bien, cela implique que vous devez mettre à jour votre application pour utiliser le nouveau certificat.

    InformationsquelleAutor Frederic Yesid Peña Sánchez
  4. 15

    Moins que j'ai loupé quelque chose, les autres réponses sur cette page sont DANGEREUX, et sont fonctionnellement équivalents à pas à l'aide de SSL à tous. Si vous faites confiance à des certificats auto-signés, sans procéder à d'autres vérifications pour s'assurer que les certificats sont ceux qui vous attendent, alors n'importe qui peut créer un certificat auto-signé et peut se faire passer pour votre serveur. À ce stade, vous n'avez aucune sécurité réelle.

    La seulement façon légitime de le faire (sans écrire une pleine SSL pile) est à ajouter une ancre de confiance pour être dignes de confiance lors de la vérification du certificat du processus. Les deux impliquent de coder en dur la confiance d'ancrage certificat dans votre application et de l'ajouter à ce que ancres de confiance que le système d'exploitation (ou d'autre, vous ne serez pas en mesure de se connecter à votre site si vous obtenez un vrai certificat).

    Je suis conscient de deux façons de le faire:

    1. Créer un magasin de confiance tel que décrit à http://www.ibm.com/developerworks/java/library/j-customssl/#8

    2. Créer une instance de X509TrustManager et remplacer le getAcceptedIssuers méthode retourne un tableau qui contient votre certificat:

      public X509Certificate[] getAcceptedIssuers()
{
X509Certificate[] trustedAnchors =
super.getAcceptedIssuers();
/* Create a new array with room for an additional trusted certificate. */
X509Certificate[] myTrustedAnchors = new X509Certificate[trustedAnchors.length + 1];
System.arraycopy(trustedAnchors, 0, myTrustedAnchors, 0, trustedAnchors.length);  
/* Load your certificate.
Thanks to http://stackoverflow.com/questions/11857417/x509trustmanager-override-without-allowing-all-certs
for this bit.
*/
InputStream inStream = new FileInputStream("fileName-of-cert");
CertificateFactory cf = CertificateFactory.getInstance("X.509");
X509Certificate cert = (X509Certificate)cf.generateCertificate(inStream);
inStream.close();
/* Add your anchor cert as the last item in the array. */
myTrustedAnchors[trustedAnchors.length] = cert;
return myTrustedAnchors;
}

    Notez que ce code est entièrement testées et peuvent même ne pas compiler, mais devrait au moins vous orienter dans la bonne direction.

    • Il y a certaines choses dans les nouvelles ces derniers temps sur android, les développeurs ne vérifiant pas leurs certificats. Si cela semble bon.
    • Eh bien, s'avère X509TrustManager est une interface, de sorte que vous ne pouvez pas sous-classe il.
    • Vous pouvez créer votre propre confiance manager. publib.boulder.ibm.com/infocenter/javasdk/v6r0/...
    • Pour ajouter à @Peterdk premier commentaire: voir ce document appelée "Pourquoi Eve et Mallory Amour Android: Une Analyse de Android SSL (In)Sécurité".
    • Comment est-ce, vraiment? Semble que c'est quelque chose qui devrait être de pratique courante.
    • Maintenant nécessaire, c'est quoi?

    InformationsquelleAutor dgatwood
  5. 4

    Brian Yarger réponse fonctionne sous Android 2.2 ainsi, si vous modifiez le plus grand createSocket surcharge de la méthode comme suit. Il m'a fallu un certain temps pour obtenir l'auto-signé Ssl de travail.

    public Socket createSocket(Socket socket, String host, int port, boolean autoClose) throws IOException, UnknownHostException {
return getSSLContext().getSocketFactory().createSocket(socket, host, port, autoClose);
}
    InformationsquelleAutor Dmitry S.
  6. 0

    Sur Android, HttpProtocolParams accepte ProtocolVersion plutôt que HttpVersion.

    ProtocolVersion pv = new ProtocolVersion("HTTP", 1, 1);
HttpProtocolParams.setVersion(params, pv);
    InformationsquelleAutor James
  7. 0

    @Chris - ce Détachement comme une réponse car je ne peux pas ajouter des commentaires (pas encore). Je me demandais si votre approche est censé fonctionner lors de l'utilisation d'une webView. Je n'arrive pas à le faire sur Android 2.3 - au lieu de cela, j'ai juste un écran blanc.

    Après quelques recherches, je suis tombé sur ce solution simple pour le traitement des erreurs SSL dans une webView qui a fonctionné comme un charme pour moi.

    Dans le gestionnaire j'ai vérifier pour voir si je suis dans un dev mode et gestionnaire d'appel.aller de l'avant(), sinon je le gestionnaire d'appel.annuler(). Cela me permet de faire du développement à l'encontre d'un auto-signé cert sur un site web local.

    InformationsquelleAutor Yaakov