Tin tưởng tất cả các chứng chỉ với okHttp

Đối với mục đích thử nghiệm, tôi đang cố gắng thêm một nhà máy sản xuất ổ cắm vào ứng dụng khách okHttp của mình tin cậy mọi thứ trong khi proxy được thiết lập. Điều này đã được thực hiện nhiều lần, nhưng việc triển khai nhà máy sản xuất ổ cắm đáng tin cậy của tôi dường như còn thiếu một số thứ:

class TrustEveryoneManager implements X509TrustManager {
    @Override
    public void checkClientTrusted(java.security.cert.X509Certificate[] chain, String authType) throws CertificateException { }

    @Override
    public void checkServerTrusted(java.security.cert.X509Certificate[] chain, String authType) throws CertificateException { }

    @Override
    public java.security.cert.X509Certificate[] getAcceptedIssuers() {
        return null;
    }
}
OkHttpClient client = new OkHttpClient();

final InetAddress ipAddress = InetAddress.getByName("XX.XXX.XXX.XXX"); // some IP
client.setProxy(new Proxy(Proxy.Type.HTTP, new InetSocketAddress(ipAddress, 8888)));

SSLContext sslContext = SSLContext.getInstance("TLS");
TrustManager[] trustManagers = new TrustManager[]{new TrustEveryoneManager()};
sslContext.init(null, trustManagers, null);
client.setSslSocketFactory(sslContext.getSocketFactory);

Không có yêu cầu nào được gửi ra khỏi ứng dụng của tôi và không có trường hợp ngoại lệ nào đang được ghi lại, vì vậy, có vẻ như nó đang không thành công trong okHttp. Khi điều tra thêm, có vẻ như có một Ngoại lệ bị nuốt chửng trong okHttp'sConnection.upgradeToTls() khi bắt tay đang bị ép buộc. Ngoại lệ tôi đang được đưa ra là:javax.net.ssl.SSLException: SSL handshake terminated: ssl=0x74b522b0: SSL_ERROR_ZERO_RETURN occurred. You should never see this.

Đoạn mã sau tạo ra một mã SSLContexthoạt động giống như một sự quyến rũ trong việc tạo SSLSocketFactory không đưa ra bất kỳ ngoại lệ nào:

protected SSLContext getTrustingSslContext() throws NoSuchAlgorithmException, KeyStoreException, KeyManagementException {
    final SSLContextBuilder trustingSSLContextBuilder = SSLContexts.custom()
            .loadTrustMaterial(null, new TrustStrategy() {
                @Override
                public boolean isTrusted(X509Certificate[] chain, String authType) throws CertificateException {
                    return true; // Accepts any ssl cert whether valid or not.
                }
            });
    return trustingSSLContextBuilder.build();
}

Vấn đề là tôi đang cố gắng xóa hoàn toàn tất cả các phụ thuộc Apache HttpClient khỏi ứng dụng của mình. Mã cơ bản với Apache HttpClient để tạo ra SSLContextcó vẻ đủ đơn giản, nhưng tôi rõ ràng là thiếu một số thứ vì tôi không thể định cấu hìnhSSLContext để phù hợp với điều này.

Có ai có thể tạo ra một triển khai SSLContext mà không cần sử dụng Apache HttpClient không?

Đề phòng bất kỳ ai rơi vào đây, giải pháp (duy nhất) phù hợp với tôi là tạo ra những thứ OkHttpClienttương tự được giải thích ở đây .

Đây là mã:

private static OkHttpClient getUnsafeOkHttpClient() {
  try {
    // Create a trust manager that does not validate certificate chains
    final TrustManager[] trustAllCerts = new TrustManager[] {
        new X509TrustManager() {
          @Override
          public void checkClientTrusted(java.security.cert.X509Certificate[] chain, String authType) throws CertificateException {
          }

          @Override
          public void checkServerTrusted(java.security.cert.X509Certificate[] chain, String authType) throws CertificateException {
          }

          @Override
          public java.security.cert.X509Certificate[] getAcceptedIssuers() {
            return new java.security.cert.X509Certificate[]{};
          }
        }
    };

    // Install the all-trusting trust manager
    final SSLContext sslContext = SSLContext.getInstance("SSL");
    sslContext.init(null, trustAllCerts, new java.security.SecureRandom());
    // Create an ssl socket factory with our all-trusting manager
    final SSLSocketFactory sslSocketFactory = sslContext.getSocketFactory();

    OkHttpClient.Builder builder = new OkHttpClient.Builder();
    builder.sslSocketFactory(sslSocketFactory, (X509TrustManager)trustAllCerts[0]);
    builder.hostnameVerifier(new HostnameVerifier() {
      @Override
      public boolean verify(String hostname, SSLSession session) {
        return true;
      }
    });

    OkHttpClient okHttpClient = builder.build();
    return okHttpClient;
  } catch (Exception e) {
    throw new RuntimeException(e);
  }
}

Phương pháp sau không được dùng nữa

sslSocketFactory(SSLSocketFactory sslSocketFactory)

Cân nhắc cập nhật nó lên

sslSocketFactory(SSLSocketFactory sslSocketFactory, X509TrustManager trustManager)

Cập nhật OkHttp 3.0, getAcceptedIssuers()hàm phải trả về một mảng trống thay vì null.

SSLSocketFactory không để lộ X509TrustManager của nó, đây là trường mà OkHttp cần để xây dựng một chuỗi chứng chỉ sạch. Phương pháp này thay vào đó phải sử dụng phản chiếu để trích xuất trình quản lý tin cậy. Các ứng dụng nên gọi sslSocketFactory (SSLSocketFactory, X509TrustManager) để tránh phản ánh như vậy.

Nguồn: tài liệu OkHttp

OkHttpClient.Builder builder = new OkHttpClient.Builder();

builder.sslSocketFactory(sslContext.getSocketFactory(),
    new X509TrustManager() {
        @Override
        public void checkClientTrusted(java.security.cert.X509Certificate[] chain, String authType) throws CertificateException {
        }

        @Override
        public void checkServerTrusted(java.security.cert.X509Certificate[] chain, String authType) throws CertificateException {
        }

        @Override
        public java.security.cert.X509Certificate[] getAcceptedIssuers() {
            return new java.security.cert.X509Certificate[]{};
        }
    });

Đây là giải pháp của sonxurxo trong Kotlin, nếu ai cần.

private fun getUnsafeOkHttpClient(): OkHttpClient {
    // Create a trust manager that does not validate certificate chains
    val trustAllCerts = arrayOf<TrustManager>(object : X509TrustManager {
        override fun checkClientTrusted(chain: Array<out X509Certificate>?, authType: String?) {
        }

        override fun checkServerTrusted(chain: Array<out X509Certificate>?, authType: String?) {
        }

        override fun getAcceptedIssuers() = arrayOf<X509Certificate>()
    })

    // Install the all-trusting trust manager
    val sslContext = SSLContext.getInstance("SSL")
    sslContext.init(null, trustAllCerts, java.security.SecureRandom())
    // Create an ssl socket factory with our all-trusting manager
    val sslSocketFactory = sslContext.socketFactory

    return OkHttpClient.Builder()
        .sslSocketFactory(sslSocketFactory, trustAllCerts[0] as X509TrustManager)
        .hostnameVerifier { _, _ -> true }.build()
}

Tôi đã tạo một chức năng mở rộng cho Kotlin. Dán nó vào bất cứ nơi nào bạn thích và nhập nó trong khi tạo OkHttpClient.

fun OkHttpClient.Builder.ignoreAllSSLErrors(): OkHttpClient.Builder {
    val naiveTrustManager = object : X509TrustManager {
        override fun getAcceptedIssuers(): Array<X509Certificate> = arrayOf()
        override fun checkClientTrusted(certs: Array<X509Certificate>, authType: String) = Unit
        override fun checkServerTrusted(certs: Array<X509Certificate>, authType: String) = Unit
    }

    val insecureSocketFactory = SSLContext.getInstance("TLSv1.2").apply {
        val trustAllCerts = arrayOf<TrustManager>(naiveTrustManager)
        init(null, trustAllCerts, SecureRandom())
    }.socketFactory

    sslSocketFactory(insecureSocketFactory, naiveTrustManager)
    hostnameVerifier(HostnameVerifier { _, _ -> true })
    return this
}

sử dụng nó như thế này:

val okHttpClient = OkHttpClient.Builder().apply {
    // ...
    if (BuildConfig.DEBUG) //if it is a debug build ignore ssl errors
        ignoreAllSSLErrors()
    //...
}.build()

Đây là giải pháp Scala nếu ai cần

def anUnsafeOkHttpClient(): OkHttpClient = {
val manager: TrustManager =
  new X509TrustManager() {
    override def checkClientTrusted(x509Certificates: Array[X509Certificate], s: String) = {}

    override def checkServerTrusted(x509Certificates: Array[X509Certificate], s: String) = {}

    override def getAcceptedIssuers = Seq.empty[X509Certificate].toArray
  }
val trustAllCertificates =  Seq(manager).toArray

val sslContext = SSLContext.getInstance("SSL")
sslContext.init(null, trustAllCertificates, new java.security.SecureRandom())
val sslSocketFactory = sslContext.getSocketFactory()
val okBuilder = new OkHttpClient.Builder()
okBuilder.sslSocketFactory(sslSocketFactory, trustAllCertificates(0).asInstanceOf[X509TrustManager])
okBuilder.hostnameVerifier(new NoopHostnameVerifier)
okBuilder.build()

}

Bạn không bao giờ nên tìm cách ghi đè xác thực chứng chỉ trong mã! Nếu bạn cần thực hiện kiểm tra, hãy sử dụng CA nội bộ / kiểm tra và cài đặt chứng chỉ gốc CA trên thiết bị hoặc trình giả lập. Bạn có thể sử dụng BurpSuite hoặc Charles Proxy nếu bạn không biết cách thiết lập CA.