Как включить поддержку TLS 1.2 в Android-приложении (работает на Android 4.1 JB)

Согласно документам в Android для SSLSocket и SSLContext , протоколы TLS v1.1 и v1.2 поддерживаются в уровне API 16+, но по умолчанию не включены. http://developer.android.com/reference/javax/net/ssl/SSLSocket.html http://developer.android.com/reference/javax/net/ssl/SSLContext.html

Как включить его на устройстве под управлением Android 4.1 или новее (но ниже 5.0)?

Я попытался создать настраиваемый SSLSocketFactory, который позволяет использовать все поддерживаемые протоколы при создании Socket , а затем использовать мою собственную реализацию как:

HttpsURLConnection.setDefaultSSLSocketFactory (новый MySSLSocketFactory ());

 public class MySSLSocketFactory extends SSLSocketFactory { private SSLContext sc; private SSLSocketFactory ssf; public MySSLSocketFactory() { try { sc = SSLContext.getInstance("TLS"); sc.init(null, null, null); ssf = sc.getSocketFactory(); } catch (NoSuchAlgorithmException e) { e.printStackTrace(); } catch (KeyManagementException e) { e.printStackTrace(); } } @Override public Socket createSocket(Socket s, String host, int port, boolean autoClose) throws IOException { SSLSocket ss = (SSLSocket) ssf.createSocket(s, host, port, autoClose); ss.setEnabledProtocols(ss.getSupportedProtocols()); ss.setEnabledCipherSuites(ss.getSupportedCipherSuites()); return ss; } @Override public String[] getDefaultCipherSuites() { return ssf.getDefaultCipherSuites(); } @Override public String[] getSupportedCipherSuites() { return ssf.getSupportedCipherSuites(); } @Override public Socket createSocket(String host, int port) throws IOException, UnknownHostException { SSLSocket ss = (SSLSocket) ssf.createSocket(host, port); ss.setEnabledProtocols(ss.getSupportedProtocols()); ss.setEnabledCipherSuites(ss.getSupportedCipherSuites()); return ss; } @Override public Socket createSocket(InetAddress host, int port) throws IOException { SSLSocket ss = (SSLSocket) ssf.createSocket(host, port); ss.setEnabledProtocols(ss.getSupportedProtocols()); ss.setEnabledCipherSuites(ss.getSupportedCipherSuites()); return ss; } @Override public Socket createSocket(String host, int port, InetAddress localHost, int localPort) throws IOException, UnknownHostException { SSLSocket ss = (SSLSocket) ssf.createSocket(host, port, localHost, localPort); ss.setEnabledProtocols(ss.getSupportedProtocols()); ss.setEnabledCipherSuites(ss.getSupportedCipherSuites()); return ss; } @Override public Socket createSocket(InetAddress address, int port, InetAddress localAddress, int localPort) throws IOException { SSLSocket ss = (SSLSocket) ssf.createSocket(address, port, localAddress, localPort); ss.setEnabledProtocols(ss.getSupportedProtocols()); ss.setEnabledCipherSuites(ss.getSupportedCipherSuites()); return ss; } } 

Но он по-прежнему дает исключение при попытке установить соединение с сервером, на котором включен только TLS 1.2 .

Вот исключение, которое я получаю:

03-09 09: 21: 38.427: W / System.err (2496): javax.net.ssl.SSLHandshakeException: javax.net.ssl.SSLProtocolException: SSL-рукопожатие отменено: ssl = 0xb7fa0620: ошибка в библиотеке SSL, обычно протокол ошибка

03-09 09: 21: 38.427: W / System.err (2496): ошибка: 14077410: SSL-процедуры: SSL23_GET_SERVER_HELLO: сбой вызова подтверждения sslv3 (внешний / openssl / ssl / s23_clnt.c: 741 0xa90e6990: 0x00000000)

2 способа включения TLSv1.1 и TLSv1.2:

  1. используйте это руководство: http://blog.dev-area.net/2015/08/13/android-4-1-enable-tls-1-1-and-tls-1-2/
  2. используйте этот class https://github.com/erickok/transdroid/blob/master/app/src/main/java/org/transdroid/daemon/util/TlsSniSocketFactory.java
    schemeRegistry.register(new Scheme("https", new TlsSniSocketFactory(), port));

Я решил эту проблему, следуя указаниям, приведенным в статье http://blog.dev-area.net/2015/08/13/android-4-1-enable-tls-1-1-and-tls-1-2 / с небольшими изменениями.

 SSLContext context = SSLContext.getInstance("TLS"); context.init(null, null, null); SSLSocketFactory noSSLv3Factory = null; if (Build.VERSION.SDK_INT <= Build.VERSION_CODES.KITKAT) { noSSLv3Factory = new TLSSocketFactory(sslContext.getSocketFactory()); } else { noSSLv3Factory = sslContext.getSocketFactory(); } connection.setSSLSocketFactory(noSSLv3Factory); 

Это код пользовательского TLSSocketFactory:

 public static class TLSSocketFactory extends SSLSocketFactory { private SSLSocketFactory internalSSLSocketFactory; public TLSSocketFactory(SSLSocketFactory delegate) throws KeyManagementException, NoSuchAlgorithmException { internalSSLSocketFactory = delegate; } @Override public String[] getDefaultCipherSuites() { return internalSSLSocketFactory.getDefaultCipherSuites(); } @Override public String[] getSupportedCipherSuites() { return internalSSLSocketFactory.getSupportedCipherSuites(); } @Override public Socket createSocket(Socket s, String host, int port, boolean autoClose) throws IOException { return enableTLSOnSocket(internalSSLSocketFactory.createSocket(s, host, port, autoClose)); } @Override public Socket createSocket(String host, int port) throws IOException, UnknownHostException { return enableTLSOnSocket(internalSSLSocketFactory.createSocket(host, port)); } @Override public Socket createSocket(String host, int port, InetAddress localHost, int localPort) throws IOException, UnknownHostException { return enableTLSOnSocket(internalSSLSocketFactory.createSocket(host, port, localHost, localPort)); } @Override public Socket createSocket(InetAddress host, int port) throws IOException { return enableTLSOnSocket(internalSSLSocketFactory.createSocket(host, port)); } @Override public Socket createSocket(InetAddress address, int port, InetAddress localAddress, int localPort) throws IOException { return enableTLSOnSocket(internalSSLSocketFactory.createSocket(address, port, localAddress, localPort)); } /* * Utility methods */ private static Socket enableTLSOnSocket(Socket socket) { if (socket != null && (socket instanceof SSLSocket) && isTLSServerEnabled((SSLSocket) socket)) { // skip the fix if server doesn't provide there TLS version ((SSLSocket) socket).setEnabledProtocols(new String[]{TLS_v1_1, TLS_v1_2}); } return socket; } private static boolean isTLSServerEnabled(SSLSocket sslSocket) { System.out.println("__prova__ :: " + sslSocket.getSupportedProtocols().toString()); for (String protocol : sslSocket.getSupportedProtocols()) { if (protocol.equals(TLS_v1_1) || protocol.equals(TLS_v1_2)) { return true; } } return false; } } 

Изменить: Спасибо ademar111190 за реализацию kotlin ( ссылка )

 class TLSSocketFactory constructor( private val internalSSLSocketFactory: SSLSocketFactory ) : SSLSocketFactory() { private val protocols = arrayOf("TLSv1.2", "TLSv1.1") override fun getDefaultCipherSuites(): Array = internalSSLSocketFactory.defaultCipherSuites override fun getSupportedCipherSuites(): Array = internalSSLSocketFactory.supportedCipherSuites override fun createSocket(s: Socket, host: String, port: Int, autoClose: Boolean) = enableTLSOnSocket(internalSSLSocketFactory.createSocket(s, host, port, autoClose)) override fun createSocket(host: String, port: Int) = enableTLSOnSocket(internalSSLSocketFactory.createSocket(host, port)) override fun createSocket(host: String, port: Int, localHost: InetAddress, localPort: Int) = enableTLSOnSocket(internalSSLSocketFactory.createSocket(host, port, localHost, localPort)) override fun createSocket(host: InetAddress, port: Int) = enableTLSOnSocket(internalSSLSocketFactory.createSocket(host, port)) override fun createSocket(address: InetAddress, port: Int, localAddress: InetAddress, localPort: Int) = enableTLSOnSocket(internalSSLSocketFactory.createSocket(address, port, localAddress, localPort)) private fun enableTLSOnSocket(socket: Socket?) = socket?.apply { if (this is SSLSocket && isTLSServerEnabled(this)) { enabledProtocols = protocols } } private fun isTLSServerEnabled(sslSocket: SSLSocket) = sslSocket.supportedProtocols.any { it in protocols } } 

Вы должны использовать

  SSLContext.getInstance("TLSv1.2"); 

для конкретной версии протокола.

Второе исключение произошло из-за того, что по умолчанию socketFactory использовал резервный протокол SSLv3 для сбоев.

Вы можете использовать NoSSLFactory из основного ответа здесь для его подавления. Как отключить SSLv3 в android для HttpsUrlConnection?

Также вы должны запустить SSLContext со всеми вашими сертификатами (клиентскими и доверенными, если они вам понадобятся)

Но все это бесполезно без использования

 ProviderInstaller.installIfNeeded(getContext()) 

Более подробная информация приведена в правильном сценарии использования. https://developer.android.com/training/articles/security-gms-provider.html

Надеюсь, поможет.

У меня есть некоторые дополнения к вышеупомянутым ответам. Его infact взломать упоминается Джесси Уилсон от okhttp, площадь здесь . Согласно этому хаку, мне пришлось переименовать мою переменную SSLSocketFactory в

 private SSLSocketFactory delegate; 

Это мой class TLSSocketFactory

 public class TLSSocketFactory extends SSLSocketFactory { private SSLSocketFactory delegate; public TLSSocketFactory() throws KeyManagementException, NoSuchAlgorithmException { SSLContext context = SSLContext.getInstance("TLS"); context.init(null, null, null); delegate = context.getSocketFactory(); } @Override public String[] getDefaultCipherSuites() { return delegate.getDefaultCipherSuites(); } @Override public String[] getSupportedCipherSuites() { return delegate.getSupportedCipherSuites(); } @Override public Socket createSocket() throws IOException { return enableTLSOnSocket(delegate.createSocket()); } @Override public Socket createSocket(Socket s, String host, int port, boolean autoClose) throws IOException { return enableTLSOnSocket(delegate.createSocket(s, host, port, autoClose)); } @Override public Socket createSocket(String host, int port) throws IOException, UnknownHostException { return enableTLSOnSocket(delegate.createSocket(host, port)); } @Override public Socket createSocket(String host, int port, InetAddress localHost, int localPort) throws IOException, UnknownHostException { return enableTLSOnSocket(delegate.createSocket(host, port, localHost, localPort)); } @Override public Socket createSocket(InetAddress host, int port) throws IOException { return enableTLSOnSocket(delegate.createSocket(host, port)); } @Override public Socket createSocket(InetAddress address, int port, InetAddress localAddress, int localPort) throws IOException { return enableTLSOnSocket(delegate.createSocket(address, port, localAddress, localPort)); } private Socket enableTLSOnSocket(Socket socket) { if(socket != null && (socket instanceof SSLSocket)) { ((SSLSocket)socket).setEnabledProtocols(new String[] {"TLSv1.1", "TLSv1.2"}); } return socket; } } 

и вот как я использовал его с okhttp и дооснащением

  OkHttpClient client=new OkHttpClient(); try { client = new OkHttpClient.Builder() .sslSocketFactory(new TLSSocketFactory()) .build(); } catch (KeyManagementException e) { e.printStackTrace(); } catch (NoSuchAlgorithmException e) { e.printStackTrace(); } Retrofit retrofit = new Retrofit.Builder() .baseUrl(URL) .client(client) .addConverterFactory(GsonConverterFactory.create()) .build(); 

@Inherently Любопытный – спасибо за публикацию этого. Вы почти готовы – вам нужно добавить еще два параметра в метод SSLContext.init ().

 TrustManager[] trustManagers = new TrustManager[] { new TrustManagerManipulator() }; sc.init(null, trustManagers, new SecureRandom()); 

он начнет работать. Еще раз большое спасибо за публикацию этого. Я решил эту проблему с вашим кодом.

  • Как установить разрешение на чтение файла закрытого ключа сертификата X.509 из .NET.
  • jQuery ajax и SSL?
  • как я могу поделиться сеансом asp.net между http и https
  • ошибка установки пакета с ошибкой проверки сертификата SSL
  • Как создать сервер HTTPS в Node.js?
  • Как программно установить SSLContext клиента JAX-WS?
  • Как перечислить / экспортировать закрытые ключи из хранилища ключей?
  • Какие Cipher Suites включить для SSL Socket?
  • Присвоение имени домена локальному хосту для среды разработки
  • Как отключить резерв SSL и использовать только TLS для исходящих подключений в .NET? (Смягчение пуделя)
  • Как заставить java-сервер принимать только tls 1.2 и отклонять tls 1.0 и tls 1.1 соединения
  • Interesting Posts

    Есть ли способ ограничить максимальный уровень масштабирования MKMapView?

    Есть ли способ сделать скриншот с использованием Java и сохранить его на каком-то изображении?

    Android – Firebase Quickstart Email / Password Auth demo не работает

    Как добавить уникальные JComboBoxes в столбец в JTable (Java)

    Как нарисовать линию gradleиента (затухание в / из) с помощью Core Graphics / iPhone?

    Что произойдет, если я установлю гостевые дополнения VirtualBox на хост?

    Есть ли опция -remote для vim (а не gVim) в cygwin?

    Компьютер отключается, BSOD, ухудшение

    C # FileStream: оптимальный размер буфера для записи больших файлов?

    Как найти продолжительность разницы между двумя датами в java?

    Каковы лучшие бесплатные (ware?) Параметры тестирования производительности ПК?

    Простой AngularJS работает на JSFiddle

    Что такое использование Curly Braces в заявлении импорта ES6

    По умолчанию Skin LibGDX?

    Какова область действия переменной, инициализируемой в выражении if?

    Давайте будем гением компьютера.