如何通过配置文件实现HTTPS证书固定

相信不少小伙伴平时上网时都遇到过APP突如其来的广告吧，比如下图这样，明显不是广告的位置，却放置了一个大大的广告，诱导用户点击。

如果遇到以上这种情况，说明你的流量可能被劫持了。通过本文介绍的方法，可有效预防APP流量劫持和篡改。

01

前 言

早期很多APP都使用HTTP协议进行数据传输，由于HTTP协议为明文传输协议，因此采用HTTP协议的应用易受到中间人攻击。

各头部厂商早就力推HTTPS协议，如谷歌chrome浏览器从2017年开始会把采用HTTP协议的网站标记为不安全的网站，苹果也是从2017年开始规定所有的应用都必须采用HTTPS的加密连接，对于安卓应用，谷歌要求自2019年11月1日起，所有APP都必须默认阻止所有域名的HTTP流量。

虽然目前大部分应用都已经转为HTTPS协议，但是有些应用在实现上却没有遵循最佳实践，依然存在被中间人攻击的可能。如信任所有证书，缺少主机域名检查，不能抵御在用户设备上安装证书（将中间人服务器的证书放到设备的信任列表中）进行中间人攻击等。

目前业界实现HTTPS推荐的安全方案是SSL/TLS Pinning，即证书固定方式。其原理是将服务器提供的证书或公钥内置到移动APP客户端中，当客户端发起请求时，通过对比内置的证书或公钥和服务器端证书或公钥内容是否一致来确定是否存在中间人攻击。

证书固定在实现时可根据业务场景不同采取不同实现方案，但都需要修改实现代码来支持，对于证书校验不熟悉的人员经常出现各种错误。而安卓系统从Android N（API 24）版本开始提供了一种简便易用的实现方式，只需要在原项目基础上添加配置文件即可实现证书固定功能，该方式不需要修改代码，大大减轻了开发人员的负担。

中间人攻击示意图

02

配置文件介绍

配置文件存放路径为APP res\xml目录下，文件名为network_security_config.xml。

<network-security-config>

<network-security-config>中可以包含0或1个<base-config>和<debug-overrides>以及任意个<domain-config>标签。由于我们要演示网站证书固定功能，所以重点介绍<domain-config>标签。

<domain-config>

配置域名匹配信息。

语法：

<domain includeSubdomains=["true" | "false"]>example.com</domain>

属性：includeSubdomains

如果为 "true"，此域名规则将与相应域名及所有子域名（包括子域名的子域名）匹配。否则，该规则仅适用于精确匹配项。

<pin-set>

语法：

    <pin-set expiration="date">
    ...
    </pin-set>

可包含任意数量的 <pin>

属性：Expiration

采用 yyyy-MM-dd 格式的日期，证书固定会在该日期过期，因而将停止固定证书。如果未设置该属性，则证书固定不会过期。

设置到期时间有助于防止未获得其应用更新（例如，在用户停用应用更新时）的应用出现连接问题。

<pin>

语法：

<pin digest=["SHA-256"]>base64 encoded digest of X.509
        SubjectPublicKeyInfo (SPKI)</pin>

属性：Digest

用于生成证书固定的摘要算法。目前仅支持 "SHA-256"。

<debug-overrides>

语法：

    <debug-overrides>
        ...
    </debug-overrides>

其中可包含0或1个<trust-anchors>

该标签用于程序调试场景，在 android:debuggable 为 "true"时生效，此时信任该标签中指定的证书。

<trust-anchors>

语法：

<trust-anchors>
    ...
    </trust-anchors>

此处指定用于安全连接的信任锚集，其中可包含任意数量的 <certificates>。

用于 trust-anchors 元素的 X.509 证书集。

语法：

<certificates src=["system" | "user" | "raw resource"]
                  overridePins=["true" | "false"] />

属性：src

CA 证书的来源。每个证书可为下列状态之一：

overridePins

应用场景

信任系统证书，即信任安卓系统内置的系统证书。配置如下图所示：

我们以demo程序访问百度网站为例，示例内容如下：

配置说明：

includeSubdomains设置为true，表明百度的子域名也可以适用，xxx.baidu.com等，若设置为false则对域名进行严格匹配。

当应用程序在开发调试阶段时，可能需要作为中间人拦截抓包，或者服务端没有部署正式证书而使用的是临时证书，此时只需要在配置中增加<debug-overrides>标签，添加需要信任的证书即可。当应用处于debug模式时信任其中的证书，例如本demo中使用了burpsuite证书，则在debug版本中可通过burpsuite进行抓包调试，而当发布为release版本时该配置不会生效。

将burpsuite证书导出，在APP res目录下新建raw/cacert文件，编译版本为debug版本时生效。

总 结

通过测试验证发现，上述的配置文件可满足我们日常多种场景，有效防御中间人攻击，如果中间有代理拦截，则会出现证书验证失败，如下图所示：

前文说过，如此简便的功能只在Android N版本才开始支持，那之前的版本怎么办呢？

之前的版本如想使用该方案，可集成开源库TrustKit来实现该功能，用法类似，详情请参考：https://github.com/datatheorem/TrustKit-Android。

通过上述实践可以看出，通过配置文件实现HTTPS证书信任管理问题非常方便灵活，将以前复杂的证书验证处理流程交由安卓系统处理，开发人员只需根据业务场景完成相应配置即可，大大减轻了开发人员的负担。

另外，配置文件还可以实现更多详细内容，具体请参考谷歌开发者网站。

更多精彩阅读

END

长按关注  最新动态