okHttp로 모든 인증서 신뢰


111

테스트 목적으로 프록시가 설정된 동안 모든 것을 신뢰하는 소켓 팩토리를 okHttp 클라이언트에 추가하려고합니다. 이것은 여러 번 수행되었지만 신뢰 소켓 팩토리 구현에 뭔가 누락 된 것 같습니다.

class TrustEveryoneManager implements X509TrustManager {
    @Override
    public void checkClientTrusted(java.security.cert.X509Certificate[] chain, String authType) throws CertificateException { }

    @Override
    public void checkServerTrusted(java.security.cert.X509Certificate[] chain, String authType) throws CertificateException { }

    @Override
    public java.security.cert.X509Certificate[] getAcceptedIssuers() {
        return null;
    }
}
OkHttpClient client = new OkHttpClient();

final InetAddress ipAddress = InetAddress.getByName("XX.XXX.XXX.XXX"); // some IP
client.setProxy(new Proxy(Proxy.Type.HTTP, new InetSocketAddress(ipAddress, 8888)));

SSLContext sslContext = SSLContext.getInstance("TLS");
TrustManager[] trustManagers = new TrustManager[]{new TrustEveryoneManager()};
sslContext.init(null, trustManagers, null);
client.setSslSocketFactory(sslContext.getSocketFactory);

내 앱에서 요청이 전송되지 않고 예외가 기록되지 않으므로 okHttp 내에서 자동으로 실패하는 것 같습니다. 추가 조사 Connection.upgradeToTls()에서 핸드 셰이크가 강제 될 때 okHttp에서 예외가 삼키는 것으로 보입니다 . 제가받은 예외는 다음과 같습니다.javax.net.ssl.SSLException: SSL handshake terminated: ssl=0x74b522b0: SSL_ERROR_ZERO_RETURN occurred. You should never see this.

다음 코드는 SSLContext예외를 발생시키지 않는 SSLSocketFactory를 생성 할 때 매력처럼 작동하는를 생성합니다.

protected SSLContext getTrustingSslContext() throws NoSuchAlgorithmException, KeyStoreException, KeyManagementException {
    final SSLContextBuilder trustingSSLContextBuilder = SSLContexts.custom()
            .loadTrustMaterial(null, new TrustStrategy() {
                @Override
                public boolean isTrusted(X509Certificate[] chain, String authType) throws CertificateException {
                    return true; // Accepts any ssl cert whether valid or not.
                }
            });
    return trustingSSLContextBuilder.build();
}

문제는 내 앱에서 모든 Apache HttpClient 종속성을 완전히 제거하려고한다는 것입니다. Apache HttpClient를 사용하는 기본 코드는 SSLContext충분히 간단 해 보이지만 SSLContext이것과 일치 하도록 구성 할 수 없기 때문에 분명히 뭔가 누락되었습니다 .

누구든지 Apache HttpClient를 사용하지 않고 내가 원하는 것을 수행하는 SSLContext 구현을 생성 할 수 있습니까?


2
"테스트 목적으로 모든 것을 신뢰하는 소켓 팩토리를 okHttp 클라이언트에 추가하려고합니다."이것이 처음부터 좋은 아이디어라고 생각하게 만드는 이유는 무엇입니까?
CommonsWare

1
내가 전적으로 신뢰하는 네트워크에서만 호출됩니다.
seato 2014-08-26

이로 인해java.net.SocketTimeoutException: Read timed out
IgorGanapolsky

답변:


250

누군가 여기에 빠질 경우를 대비하여 나를 위해 일한 (유일한) 솔루션은 여기에OkHttpClient 설명 된 것과 같은 것을 만드는 입니다.

다음은 코드입니다.

private static OkHttpClient getUnsafeOkHttpClient() {
  try {
    // Create a trust manager that does not validate certificate chains
    final TrustManager[] trustAllCerts = new TrustManager[] {
        new X509TrustManager() {
          @Override
          public void checkClientTrusted(java.security.cert.X509Certificate[] chain, String authType) throws CertificateException {
          }

          @Override
          public void checkServerTrusted(java.security.cert.X509Certificate[] chain, String authType) throws CertificateException {
          }

          @Override
          public java.security.cert.X509Certificate[] getAcceptedIssuers() {
            return new java.security.cert.X509Certificate[]{};
          }
        }
    };

    // Install the all-trusting trust manager
    final SSLContext sslContext = SSLContext.getInstance("SSL");
    sslContext.init(null, trustAllCerts, new java.security.SecureRandom());
    // Create an ssl socket factory with our all-trusting manager
    final SSLSocketFactory sslSocketFactory = sslContext.getSocketFactory();

    OkHttpClient.Builder builder = new OkHttpClient.Builder();
    builder.sslSocketFactory(sslSocketFactory, (X509TrustManager)trustAllCerts[0]);
    builder.hostnameVerifier(new HostnameVerifier() {
      @Override
      public boolean verify(String hostname, SSLSession session) {
        return true;
      }
    });

    OkHttpClient okHttpClient = builder.build();
    return okHttpClient;
  } catch (Exception e) {
    throw new RuntimeException(e);
  }
}

15
SSL안돼 TLS?
IgorGanapolsky

1
감사합니다! 개조 (okhttp 사용)에 대한 문서가 부족합니다. 이런 종류의 코드 샘플을 사용하면 몇 번이고 시간을 절약 할 수 있습니다.
Warpzit

8
이 접근 방식은 현재 버전의 OkHttp에서는 더 이상 작동하지 않습니다. 3.1.1에서는 완전히 깨진 것처럼 보입니다. 3.1.2부터는 X509TrustManager.getAcceptedIssuers()대신 빈 배열을 반환해야합니다 null. 자세한 내용은 이 커밋을 참조하십시오 (아래로 스크롤하여 RealTrustRootIndex.java 아래의 참고 사항 참조).
jbxbergdev

12
나는 이것을 시도했지만 여전히 Handshake failed예외가 있습니다. 어떤 제안?
Esteban


13

다음 메소드는 더 이상 사용되지 않습니다.

sslSocketFactory(SSLSocketFactory sslSocketFactory)

업데이트 고려

sslSocketFactory(SSLSocketFactory sslSocketFactory, X509TrustManager trustManager)

13

업데이트 OkHttp 3.0은 getAcceptedIssuers()함수가 반환해야 빈 배열 대신을 null.


2
대중이 X509Certificate [] getAcceptedIssuers을 @Override () {새로운 X509Certificate에를 반환 [] {}; // StackOverflow의}
어빈 장

11

SSLSocketFactory는 OkHttp가 깨끗한 인증서 체인을 구축하는 데 필요한 필드 인 X509TrustManager를 노출하지 않습니다. 대신이 방법은 리플렉션을 사용하여 신뢰 관리자를 추출해야합니다. 애플리케이션은 sslSocketFactory (SSLSocketFactory, X509TrustManager)를 호출하는 것을 선호해야합니다.

출처 : OkHttp 문서

OkHttpClient.Builder builder = new OkHttpClient.Builder();

builder.sslSocketFactory(sslContext.getSocketFactory(),
    new X509TrustManager() {
        @Override
        public void checkClientTrusted(java.security.cert.X509Certificate[] chain, String authType) throws CertificateException {
        }

        @Override
        public void checkServerTrusted(java.security.cert.X509Certificate[] chain, String authType) throws CertificateException {
        }

        @Override
        public java.security.cert.X509Certificate[] getAcceptedIssuers() {
            return new java.security.cert.X509Certificate[]{};
        }
    });

자체 서명 된 인증서에는 작동하지 않습니다. 원인 401 권한 오류가 발생했습니다.
IgorGanapolsky

5
어디에서 sslContext왔습니까?
Anonsage

3
어떻게 초기화 sslContext합니까?
kiltek

10

누군가 필요하다면 이것은 Kotlin의 sonxurxo의 솔루션입니다.

private fun getUnsafeOkHttpClient(): OkHttpClient {
    // Create a trust manager that does not validate certificate chains
    val trustAllCerts = arrayOf<TrustManager>(object : X509TrustManager {
        override fun checkClientTrusted(chain: Array<out X509Certificate>?, authType: String?) {
        }

        override fun checkServerTrusted(chain: Array<out X509Certificate>?, authType: String?) {
        }

        override fun getAcceptedIssuers() = arrayOf<X509Certificate>()
    })

    // Install the all-trusting trust manager
    val sslContext = SSLContext.getInstance("SSL")
    sslContext.init(null, trustAllCerts, java.security.SecureRandom())
    // Create an ssl socket factory with our all-trusting manager
    val sslSocketFactory = sslContext.socketFactory

    return OkHttpClient.Builder()
        .sslSocketFactory(sslSocketFactory, trustAllCerts[0] as X509TrustManager)
        .hostnameVerifier { _, _ -> true }.build()
}

7

Kotlin의 확장 기능을 만들었습니다. 원하는 곳에 붙여넣고 OkHttpClient.

fun OkHttpClient.Builder.ignoreAllSSLErrors(): OkHttpClient.Builder {
    val naiveTrustManager = object : X509TrustManager {
        override fun getAcceptedIssuers(): Array<X509Certificate> = arrayOf()
        override fun checkClientTrusted(certs: Array<X509Certificate>, authType: String) = Unit
        override fun checkServerTrusted(certs: Array<X509Certificate>, authType: String) = Unit
    }

    val insecureSocketFactory = SSLContext.getInstance("TLSv1.2").apply {
        val trustAllCerts = arrayOf<TrustManager>(naiveTrustManager)
        init(null, trustAllCerts, SecureRandom())
    }.socketFactory

    sslSocketFactory(insecureSocketFactory, naiveTrustManager)
    hostnameVerifier(HostnameVerifier { _, _ -> true })
    return this
}

다음과 같이 사용하십시오.

val okHttpClient = OkHttpClient.Builder().apply {
    // ...
    if (BuildConfig.DEBUG) //if it is a debug build ignore ssl errors
        ignoreAllSSLErrors()
    //...
}.build()

실제로 다음과 같이 사용할 수 있습니다. OkHttpClient.Builder () .ignoreAllSSLErrors () .connectTimeout (api.timeout, TimeUnit.SECONDS) .writeTimeout (api.timeout, TimeUnit.SECONDS) 등, 결국 빌더 패턴입니다
Emanuel Moecklin

1

누구나 필요로하는 경우 이것이 Scala 솔루션입니다.

def anUnsafeOkHttpClient(): OkHttpClient = {
val manager: TrustManager =
  new X509TrustManager() {
    override def checkClientTrusted(x509Certificates: Array[X509Certificate], s: String) = {}

    override def checkServerTrusted(x509Certificates: Array[X509Certificate], s: String) = {}

    override def getAcceptedIssuers = Seq.empty[X509Certificate].toArray
  }
val trustAllCertificates =  Seq(manager).toArray

val sslContext = SSLContext.getInstance("SSL")
sslContext.init(null, trustAllCertificates, new java.security.SecureRandom())
val sslSocketFactory = sslContext.getSocketFactory()
val okBuilder = new OkHttpClient.Builder()
okBuilder.sslSocketFactory(sslSocketFactory, trustAllCertificates(0).asInstanceOf[X509TrustManager])
okBuilder.hostnameVerifier(new NoopHostnameVerifier)
okBuilder.build()

}


-12

코드에서 인증서 유효성 검사를 재정의해서는 안됩니다! 테스트를 수행해야하는 경우 내부 / 테스트 CA를 사용하고 장치 또는 에뮬레이터에 CA 루트 인증서를 설치합니다. CA를 설정하는 방법을 모르는 경우 BurpSuite 또는 Charles Proxy를 사용할 수 있습니다.


37
오 어서. 회사에서 일하고 있으며 VPN을 통해 HTTPS 서버에 연결하도록 강요하는 경우에는 어떻게해야합니까? 테스트에서 어떻게 시뮬레이션할까요?
IgorGanapolsky

5
Ya 이것은 가장 순수한 돼지 세척제입니다. 우리는 이것을 테스트 빌드에서만 컴파일하므로 위험이 없습니다.
Adam
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.