Как включить поддержку TLS 1.2 в Android-приложении (работает на Android 4.1 JB)

Согласно документам в Android для SSLSocket и SSLContext , протоколы TLS v1.1 и v1.2 поддерживаются на уровне API 16+, но по умолчанию не включены. Http://developer.android.com/reference/javax/net/ssl/SSLSocket.html http://developer.android.com/reference/javax/net/ssl/SSLContext.html

Как включить его на устройстве под управлением Android 4.1 или новее (но ниже 5.0)?

Я попытался создать настраиваемый SSLSocketFactory, который включает все поддерживаемые протоколы при создании Socket , а затем использовать мою собственную реализацию как:

HttpsURLConnection.setDefaultSSLSocketFactory (новый MySSLSocketFactory ());

 public class MySSLSocketFactory extends SSLSocketFactory { private SSLContext sc; private SSLSocketFactory ssf; public MySSLSocketFactory() { try { sc = SSLContext.getInstance("TLS"); sc.init(null, null, null); ssf = sc.getSocketFactory(); } catch (NoSuchAlgorithmException e) { e.printStackTrace(); } catch (KeyManagementException e) { e.printStackTrace(); } } @Override public Socket createSocket(Socket s, String host, int port, boolean autoClose) throws IOException { SSLSocket ss = (SSLSocket) ssf.createSocket(s, host, port, autoClose); ss.setEnabledProtocols(ss.getSupportedProtocols()); ss.setEnabledCipherSuites(ss.getSupportedCipherSuites()); return ss; } @Override public String[] getDefaultCipherSuites() { return ssf.getDefaultCipherSuites(); } @Override public String[] getSupportedCipherSuites() { return ssf.getSupportedCipherSuites(); } @Override public Socket createSocket(String host, int port) throws IOException, UnknownHostException { SSLSocket ss = (SSLSocket) ssf.createSocket(host, port); ss.setEnabledProtocols(ss.getSupportedProtocols()); ss.setEnabledCipherSuites(ss.getSupportedCipherSuites()); return ss; } @Override public Socket createSocket(InetAddress host, int port) throws IOException { SSLSocket ss = (SSLSocket) ssf.createSocket(host, port); ss.setEnabledProtocols(ss.getSupportedProtocols()); ss.setEnabledCipherSuites(ss.getSupportedCipherSuites()); return ss; } @Override public Socket createSocket(String host, int port, InetAddress localHost, int localPort) throws IOException, UnknownHostException { SSLSocket ss = (SSLSocket) ssf.createSocket(host, port, localHost, localPort); ss.setEnabledProtocols(ss.getSupportedProtocols()); ss.setEnabledCipherSuites(ss.getSupportedCipherSuites()); return ss; } @Override public Socket createSocket(InetAddress address, int port, InetAddress localAddress, int localPort) throws IOException { SSLSocket ss = (SSLSocket) ssf.createSocket(address, port, localAddress, localPort); ss.setEnabledProtocols(ss.getSupportedProtocols()); ss.setEnabledCipherSuites(ss.getSupportedCipherSuites()); return ss; } } 

Но он по-прежнему дает исключение при попытке установить соединение с сервером, на котором включен только TLS 1.2 .

Вот исключение, которое я получаю:

03-09 09: 21: 38.427: W / System.err (2496): javax.net.ssl.SSLHandshakeException: javax.net.ssl.SSLProtocolException: SSL-рукопожатие отменено: ssl = 0xb7fa0620: Ошибка в библиотеке SSL, обычно протокол ошибка

03-09 09: 21: 38.427: W / System.err (2496): ошибка: 14077410: SSL-процедуры: SSL23_GET_SERVER_HELLO: отказ от сбоев связи sslv3 (внешний / openssl / ssl / s23_clnt.c: 741 0xa90e6990: 0x00000000)

Solutions Collecting From Web of "Как включить поддержку TLS 1.2 в Android-приложении (работает на Android 4.1 JB)"

2 способа включения TLSv1.1 и TLSv1.2:

  1. Используйте это руководство: http://blog.dev-area.net/2015/08/13/android-4-1-enable-tls-1-1-and-tls-1-2/
  2. Используйте этот класс https://github.com/erickok/transdroid/blob/master/app/src/main/java/org/transdroid/daemon/util/TlsSniSocketFactory.java
    schemeRegistry.register(new Scheme("https", new TlsSniSocketFactory(), port));

Я решил эту проблему, следуя указаниям, приведенным в статье http://blog.dev-area.net/2015/08/13/android-4-1-enable-tls-1-1-and-tls-1-2 / С небольшими изменениями.

 SSLContext context = SSLContext.getInstance("TLS"); context.init(null, null, null); SSLSocketFactory noSSLv3Factory = null; if (Build.VERSION.SDK_INT <= Build.VERSION_CODES.KITKAT) { noSSLv3Factory = new TLSSocketFactory(sslContext.getSocketFactory()); } else { noSSLv3Factory = sslContext.getSocketFactory(); } connection.setSSLSocketFactory(noSSLv3Factory); 

Это код пользовательского TLSSocketFactory:

 public static class TLSSocketFactory extends SSLSocketFactory { private SSLSocketFactory internalSSLSocketFactory; public TLSSocketFactory(SSLSocketFactory delegate) throws KeyManagementException, NoSuchAlgorithmException { internalSSLSocketFactory = delegate; } @Override public String[] getDefaultCipherSuites() { return internalSSLSocketFactory.getDefaultCipherSuites(); } @Override public String[] getSupportedCipherSuites() { return internalSSLSocketFactory.getSupportedCipherSuites(); } @Override public Socket createSocket(Socket s, String host, int port, boolean autoClose) throws IOException { return enableTLSOnSocket(internalSSLSocketFactory.createSocket(s, host, port, autoClose)); } @Override public Socket createSocket(String host, int port) throws IOException, UnknownHostException { return enableTLSOnSocket(internalSSLSocketFactory.createSocket(host, port)); } @Override public Socket createSocket(String host, int port, InetAddress localHost, int localPort) throws IOException, UnknownHostException { return enableTLSOnSocket(internalSSLSocketFactory.createSocket(host, port, localHost, localPort)); } @Override public Socket createSocket(InetAddress host, int port) throws IOException { return enableTLSOnSocket(internalSSLSocketFactory.createSocket(host, port)); } @Override public Socket createSocket(InetAddress address, int port, InetAddress localAddress, int localPort) throws IOException { return enableTLSOnSocket(internalSSLSocketFactory.createSocket(address, port, localAddress, localPort)); } /* * Utility methods */ private static Socket enableTLSOnSocket(Socket socket) { if (socket != null && (socket instanceof SSLSocket) && isTLSServerEnabled((SSLSocket) socket)) { // skip the fix if server doesn't provide there TLS version ((SSLSocket) socket).setEnabledProtocols(new String[]{TLS_v1_1, TLS_v1_2}); } return socket; } private static boolean isTLSServerEnabled(SSLSocket sslSocket) { System.out.println("__prova__ :: " + sslSocket.getSupportedProtocols().toString()); for (String protocol : sslSocket.getSupportedProtocols()) { if (protocol.equals(TLS_v1_1) || protocol.equals(TLS_v1_2)) { return true; } } return false; } } 

Вы должны использовать

  SSLContext.getInstance("TLSv1.2"); 

Для конкретной версии протокола.

Второе исключение произошло из-за того, что по умолчанию socketFactory использовал резервный протокол SSLv3 для сбоев.

Вы можете использовать NoSSLFactory из основного ответа здесь для его подавления. Как отключить SSLv3 в android для HttpsUrlConnection?

Также вы должны включить SSLContext со всеми вашими сертификатами (клиентскими и доверенными, если они вам понадобятся)

Но все это бесполезно без использования

 ProviderInstaller.installIfNeeded(getContext()) 

Вот более подробная информация с правильным сценарием использования https://developer.android.com/training/articles/security-gms-provider.html

Надеюсь, поможет.

@Inherently Любопытный – спасибо за публикацию этого. Вы почти готовы – вам нужно добавить еще два параметра в метод SSLContext.init ().

 TrustManager[] trustManagers = new TrustManager[] { new TrustManagerManipulator() }; sc.init(null, trustManagers, new SecureRandom()); 

Он начнет работать. Еще раз спасибо за сообщение. Я решил эту проблему с вашим кодом.