SSL android Zertifikat Ausgabe

Question

Hallo Leute, ich benutze Socket in Android mit https, also muss die Verbindung sicher machen. so für die sicheres connnection ich bin mit diesem zertifikat

private final TrustManager[] trustAllCerts= new TrustManager[] { new X509TrustManager() { 
    public java.security.cert.X509Certificate[] getAcceptedIssuers() { 
     return new java.security.cert.X509Certificate[] {}; 
    } 
    public void checkClientTrusted(X509Certificate[] chain, 
            String authType) throws CertificateException { 
    } 
    public void checkServerTrusted(X509Certificate[] chain, 
            String authType) throws CertificateException { 
    } 
} }; 

jetzt gut funktioniert und Verbindung auch dann aufgebaut, aber ich bin nicht zu verstehen, oder ich weiß nicht, dass diese Art von Zertifikat sicher ist oder nicht? soll ich das benutzen oder nicht?

Answer 1

Nein, das ist verwundbar zu einem Man-in-the-middle Angriff!

Sie verwenden https, so dass die Daten während der Übertragung verschlüsselt werden, was gut ist. Aber es gibt keine Kontrolle, dass die andere Seite ist, von wem Sie erwarten, dass es ist, was schlecht ist.

Die obige benutzerdefinierte TrustManager macht keine Prüfungen und vertraut implizit alles. Im Code heißt es sogar trustAllCerts, was Sie explizit tun wollen nicht wollen. Sie sollten die Zertifikatskette überprüfen, um festzustellen, ob sie von einer vertrauenswürdigen Quelle stammt.

Das Problem besteht darin, dass ein Angreifer Ihren https-Verkehr abfangen kann, indem er einen Proxy zwischen Ihnen und Ihrem Endpunkt platziert. Der abfangende Proxy kann sein eigenes Zertifikat bereitstellen und kann so den Verkehr entschlüsseln und damit machen, was er will. Es kann auch eine https-Verbindung mit dem Endpunkt einrichten und die Daten lesen, die es von dort erhält. So kann der Angreifer lesen, was Sie senden, kann lesen, was Sie erhalten und kann ändern, was Sie senden und erhalten.