1、前言:
1.1、SSL劫持攻击:
目前虽然很多Android APP使用了https通信方式,但是只是简单的调用而已,并未对SSL证书有效性做验证。在攻击者看来,这种漏洞让https形同虚设,可以轻易获取手机用户的明文通信信息,攻击示意图如下:
2、解决方案:
2.1、服务器证书锁定:
2.1.1、简介:
服务器证书锁定的原理是在代码中精确的验证当前服务器是否持有某张指定的证书。X509TrustManager接口是实现证书锁定一种方法,它通过在SSL回调函数中读取服务器证书密钥并和程序预埋的证书密钥进行对比,如果两者不一致则强行断开链接。
2.1.2、流程图:
2.2、根证书锁定+域名验证:
2.2.1、简介:
和服务器证书锁定类似,区别在于该方案检查服务器证书是否由指定的CA证书签名,即检查签名服务器证书的CA证书的公钥和本地预置的CA证书公钥是否一致,同时,还会进一步校验服务器证书的域名是否有效。
2.2.2、流程图:
2.3、方案对比:
| 方案 | 优点 | 缺点 |
| 服务器证书锁定 | 安全性最高,实施攻击必须拿到对应服务器私钥证书。 | 更换证书时APP影响大 |
| 根证书锁定+域名验证 | 更换服务器证书不受影响 | 安全性和CA机构以及域名验证机制有关。 |