在我的一個應用程序中,我使用HTTPS和自簽名證書,並遵循Android開發人員培訓網站(https://developer.android.com/training/articles/security-ssl.html#UnknownCa)的示例代碼。谷歌播放安全警報不安全的TrustManager
我最近買了以下警告說,目前的實現並不保證:
安全警報
您的應用使用不安全的實現與Apache HTTP客戶端 X509TrustManager接口,導致一個 安全漏洞。有關詳細信息,請參閱this Google Help Center article,其中包括修復漏洞的截止日期。
有人可以提供更多的細節,應該在上面鏈接的示例代碼之外進行更新嗎?
我應該實施自定義TrustManager
嗎?如果是這樣,它應該驗證什麼?
嗯,這似乎[谷歌的幫助中心文章在被覆蓋(https://support.google.com/faqs/answer/6346016):「要正確處理SSL證書驗證,請在自定義X509TrustManager接口的checkServerTrusted方法中更改您的代碼,以便在服務器提供的證書不符合您的期望時引發CertificateException或IllegalArgumentException。你究竟如何設置你的TrustManager?你怎麼使用它? – CommonsWare
@CommonsWare與示例代碼完全相同https://developer.android.com/training/articles/security-ssl.html#UnknownCa 我應該做什麼不同嗎? – Muzikant
在鏈接到的頁面上,沒有用於自簽名服務器證書方案的代碼。未知證書權限方案有代碼。 – CommonsWare