Trong một trong các ứng dụng của tôi, tôi đang sử dụng HTTPS với chứng chỉ tự ký và theo mã mẫu từ trang web đào tạo dành cho nhà phát triển Android (https://developer.android.com/training/articles/security-ssl.html#UnknownCa).Cảnh báo bảo mật của Google Play cho TrustManager
Gần đây tôi nhận được cảnh báo sau đây nói rằng việc thực hiện hiện tại không được bảo đảm:
an ninh cảnh báo
ứng dụng bạn đang sử dụng một thực hiện không an toàn của giao diện X509TrustManager với một ứng dụng Apache HTTP , dẫn đến lỗ hổng bảo mật . Vui lòng xem this Google Help Center article để biết chi tiết , bao gồm thời hạn để sửa lỗ hổng bảo mật.
Ai đó có thể cung cấp thêm chi tiết về nội dung cần được cập nhật ngoài mã mẫu được liên kết ở trên không?
Tôi có nên triển khai TrustManager
tùy chỉnh không? Nếu vậy, nó nên xác minh điều gì?
Um, mà dường như được đề cập trong [bài viết Trung tâm Trợ giúp của Google] (https://support.google.com/faqs/answer/6346016): "Để xử lý đúng đắn SSL xác nhận chứng chỉ, thay đổi mã của bạn trong phương thức checkServerTrusted của giao diện X509TrustManager tùy chỉnh của bạn để tăng CertificateException hoặc IllegalArgumentException bất cứ khi nào chứng chỉ được trình bày bởi máy chủ không đáp ứng được mong đợi của bạn. " Làm thế nào chính xác là bạn thiết lập 'TrustManager' của bạn? Bạn sử dụng nó như thế nào? – CommonsWare
@CommonsChính xác như trong mã mẫu https://developer.android.com/training/articles/security-ssl.html#UnknownCa Tôi có nên làm gì khác không? – Muzikant
Không có mã cho kịch bản chứng chỉ máy chủ tự ký trên trang mà bạn đã liên kết đến. Có mã cho trường hợp chứng chỉ-chứng chỉ không xác định. – CommonsWare