如何在Android應用中處理SSL(HTTPS)證書路徑異常？

---

在Android應用中，當伺服器證書不被裝置識別或信任時，可能會出現SSL(HTTPS)證書路徑異常。這些異常可能導致潛在的安全漏洞並中斷應用與伺服器之間的通訊。為了處理此類異常，必須解決證書路徑問題並確保安全通訊。透過實現適當的錯誤處理和證書驗證機制，開發者可以減輕SSL證書路徑異常的影響。這包括識別異常的根本原因，評估證書的有效性和真實性，以及在應用和伺服器之間建立可信連線。有效管理SSL證書路徑異常對於維護Android應用的安全性和可靠性至關重要。

SSL(HTTPS)證書

SSL證書，也稱為HTTPS證書，是由可信證書頒發機構(CA)頒發的數字證書，用於驗證網站或伺服器的身份。它確認伺服器的公鑰是真實的，並確保客戶端透過HTTPS訪問伺服器時連線的安全。簡而言之，SSL證書加密客戶端和伺服器之間的通訊，以增強安全性。

方法

有幾種方法可以處理Android應用中的SSL(HTTPS)證書路徑異常。以下是一些常見的方法

• 新增自定義TrustManager

• 忽略SSL錯誤

• 使用自定義HostnameVerifier

需要注意的是，雖然這些方法可以幫助處理SSL證書路徑異常，但務必考慮安全隱患並遵循最佳實踐，以確保Android應用內安全通訊。

新增自定義TrustManager

此方法涉及在Android應用程式中實現自定義TrustManager來驗證伺服器的證書。您可以建立一個信任庫並將伺服器證書載入到其中，從而允許您定義自己的證書驗證邏輯並相應地處理SSL證書路徑異常。

演算法

• 建立自定義TrustManager實現。

• 初始化信任庫並將伺服器證書載入到其中。

• 將自定義TrustManager設定為應用程式中使用的SSL上下文的預設TrustManager。

• 自定義TrustManager中的證書驗證邏輯，以適當地處理證書路徑異常。

示例

import javax.net.ssl.*;
import java.io.BufferedReader;
import java.io.InputStreamReader;
import java.net.URL;

public class CustomTrustManagerExample {

   public static void main(String[] args) throws Exception {
      // Create a custom TrustManager
      TrustManager[] trustAllCerts = new TrustManager[]{
            new X509TrustManager() {
               public X509Certificate[] getAcceptedIssuers() {
                  return null;
               }

               public void checkClientTrusted(X509Certificate[] certs, String authType) {
               }

               public void checkServerTrusted(X509Certificate[]certs, String authType) {
               }
            }
      };

      // Set the custom TrustManager in the SSL context
      SSLContext sslContext = SSLContext.getInstance("TLS");
      sslContext.init(null, trustAllCerts, null);
      
HttpsURLConnection.setDefaultSSLSocketFactory(sslContext.getSocketFactory());

      // Establish HTTPS connection
      String urlStr = "https://tutorialspoint.tw"; // Replace with the desired URL
      URL url = new URL(urlStr);
      HttpsURLConnection connection = (HttpsURLConnection) url.openConnection();
      
      // Send request and receive response
      int responseCode = connection.getResponseCode();
      System.out.println("Response Code: " + responseCode);

      // Read response
      BufferedReader reader = new BufferedReader(new InputStreamReader(connection.getInputStream()));
      String line;
      StringBuilder response = new StringBuilder();
      while ((line = reader.readLine()) != null) {
         response.append(line);
      }
      reader.close();

      // Print response
      System.out.println("Response: " + response.toString());

      // Close the connection
      connection.disconnect();
   }
}

輸出

Response Code: 200
Response: [HTML content of the page]

忽略SSL錯誤

此方法涉及覆蓋預設的SSLSocketFactory和X509TrustManager以暫時忽略SSL錯誤。雖然這對於測試或除錯目的很有用，但不建議在生產環境中使用，因為它繞過了證書驗證，可能會使應用程式面臨安全漏洞。

演算法

• 覆蓋預設的SSLSocketFactory和X509TrustManager。

• 在TrustManager中實現自定義邏輯以接受所有證書，包括自簽名或不受信任的證書。

• 在SSL握手過程中使用自定義的SSLSocketFactory和TrustManager。

• 請注意，此方法僅應用於測試或除錯目的，不應在生產環境中使用。

示例

import javax.net.ssl.*;
import java.io.BufferedReader;
import java.io.InputStreamReader;
import java.net.URL;

public class IgnoreSSLErrorsExample {

   public static void main(String[] args) throws Exception {
      // Create a custom TrustManager to ignore SSL errors
      TrustManager[] trustAllCerts = new TrustManager[]{
            new X509TrustManager() {
               public X509Certificate[] getAcceptedIssuers() {
                  return null;
               }

               public void checkClientTrusted(X509Certificate[] certs, String authType) {
               }

               public void checkServerTrusted(X509Certificate[] certs, String authType) {
               }
            }
      };

      // Set the custom TrustManager to ignore SSL errors
      SSLContext sslContext = SSLContext.getInstance("TLS");
      sslContext.init(null, trustAllCerts, null);
      
HttpsURLConnection.setDefaultSSLSocketFactory(sslContext.getSocketFactory());

      // Establish HTTPS connection
      String urlStr = "https://tutorialspoint.tw"; // Replace with the desired URL
      URL url = new URL(urlStr);
      HttpsURLConnection connection = (HttpsURLConnection) url.openConnection();

      // Send request and receive response
      int responseCode = connection.getResponseCode();
      System.out.println("Response Code: " + responseCode);

      // Read response
      BufferedReader reader = new BufferedReader(new InputStreamReader(connection.getInputStream()));
      String line;
      StringBuilder response = new StringBuilder();
      while ((line = reader.readLine()) != null) {
         response.append(line);
      }
      reader.close();

      // Print response
      System.out.println("Response: " + response.toString());

      // Close the connection
      connection.disconnect();
   }
}

輸出

Response Code: 200
Response: [HTML content of the page]

使用自定義HostnameVerifier

可以實現自定義HostnameVerifier來驗證伺服器的主機名，並確保它與證書中指定的主機名匹配。這是防止中間人攻擊和確保伺服器真實性的重要步驟。透過將主機名與證書的主題備用名稱(SAN)或通用名(CN)欄位中提到的主機名進行比較，您可以保證沒有安全漏洞。

演算法

• 實現自定義HostnameVerifier，覆蓋預設的主機名驗證邏輯。

• 在SSL握手過程中從證書中提取伺服器的主機名。

• 將伺服器的主機名與證書的主題備用名稱(SAN)或通用名(CN)中指定的主機名進行比較。

• 根據比較結果返回驗證結果，確保伺服器的真實性。

示例

import javax.net.ssl.*;
import java.io.BufferedReader;
import java.io.InputStreamReader;
import java.net.URL;

public class CustomHostnameVerifierExample {

   public static void main(String[] args) throws Exception {
      // Create a custom HostnameVerifier
      HostnameVerifier hostnameVerifier = new HostnameVerifier() {
         @Override
         public boolean verify(String hostname, SSLSession session) {
            // Custom hostname verification logic
            // Compare hostname with certificate's subject alternative name (SAN) or common name (CN)
            return true; // or false based on custom logic
         }
      };

      // Set the custom HostnameVerifier
HttpsURLConnection.setDefaultHostnameVerifier(hostnameVerifier);

      // Establish HTTPS connection
      String urlStr = "https://www.example.com"; // Replace with the desired URL
      URL url = new URL(urlStr);
      HttpsURLConnection connection = (HttpsURLConnection) url.openConnection();

      // Send request and receive response
      int responseCode = connection.getResponseCode();
      System.out.println("Response Code: " + responseCode);

      // Read response
      BufferedReader reader = new BufferedReader(new InputStreamReader(connection.getInputStream()));
      String line;
      StringBuilder response = new StringBuilder();
      while ((line = reader.readLine()) != null) {
         response.append(line);
      }
      reader.close();

      // Print response
      System.out.println("Response: " + response.toString());

      // Close the connection
      connection.disconnect();
   }
}

輸出

Response Code: 200
Response: [HTML content of the page]

結論

在本教程中，處理Android應用中的SSL(HTTPS)證書路徑異常對於確保安全通訊至關重要。透過使用新增自定義TrustManager、忽略SSL錯誤、使用自定義HostnameVerifier等方法，開發者可以解決證書路徑異常並建立應用程式和伺服器之間的安全連線，從而增強Android應用程式的整體安全性和可靠性。