OkHttp 试图平衡两种竞争的担忧:
- Connectivity连接到尽可能多的主机。包括运行最新版本boringssl 的先进主机,和运行老版本OpenSSL过时主机
- Security 连接的可靠性。包括使用证书和用强密码加密的私有数据来验证远程服务器。
当连接HTTPS服务器时,OkHttp需要知道服务器提供的 TLS versions和 cipher suites。客户端想要使连接最大化就需要包含完整的TLS版本和设计时就弱的密码套件(weak-by-design cipher suites)。客户端想要使安全最大化就要限制只使用最新的TLS版本和最强的密码套件(strongest cipher suites)。
针对安全和连接的设计是由 ConnectionSpec实现的。OkHttp包含三种内建连接规格:
MODERN_TLS与当今HTTPS服务器建立连接的安全配置COMPATIBLE_TLS与安全但不是如今的HTTPS服务器建立连接的安全配置CLEARTEXT用于http://URL的不可靠配置
默认情况下OkHttp将优先使用MODERN_TLS连接,如果失败则使用COMPATIBLE_TLS。
TLS版本和密码套件在每次发布时都会改变。例如在OkHttp 2.2时不再支持SSL3.0来阻止 POODLE 攻击,在OkHttp 2.3时我们不再支持RC4。作为你的桌面浏览器,保持OkHttp的更新是保证安全的最好方式。
你也可以使用定制的TLS版本和密码套件自定义连接规格,例如,这个配置限制了3个高度重视的密码套件。弊端就是最低需要安卓5.0和一个相似的流行服务器。
java
ConnectionSpec spec = new ConnectionSpec
.Builder(ConnectionSpec.MODERN_TLS) .tlsVersions(TlsVersion.TLS_1_2)
.cipherSuites(
CipherSuite.TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,
CipherSuite.TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,
CipherSuite.TLS_DHE_RSA_WITH_AES_128_GCM_SHA256)
.build();
OkHttpClient client = new OkHttpClient.Builder()
.connectionSpecs(Collections.singletonList(spec))
.build();Certificate Pinning
默认情况下OkHttp信任已授权的主机平台的证书。这个策略使连接最大化,但是会受证书颁发机构的攻击 例如 2011 DigiNotar attack。它也假设你的HTTPS服务器的证书是证书颁发机构签署的。
用CertificatePinner限制那些证书和认证是可信的。证书定制增加了安全性,但是也限制了你的服务器团队更新TLS证书的权利。 在没有经过服务器TLS管理员的同意下不要使用证书定制
java
public CertificatePinning() {
client = new OkHttpClient.Builder()
.certificatePinner(new CertificatePinner.Builder()
.add("publicobject.com", "sha256/afwiKY3RxoMmLkuRW1l7QsPZTJPwDS2pdDROQjXw8ig=")
.build())
.build();
}
public void run() throws Exception {
Request request = new Request.Builder()
.url("https://publicobject.com/robots.txt")
.build();
Response response = client.newCall(request).execute();
if (!response.isSuccessful()) throw new IOException("Unexpected code " + response);
for (Certificate certificate : response.handshake().peerCertificates()) {
System.out.println(CertificatePinner.pin(certificate));
}
}Customizing Trusted Certificates
下列的代码展示了怎么使用你自己的设置替换主机平台的认证授权,就像前面所说的在没有经过服务器TLS管理员的同意下不要使用证书定制
java
private final OkHttpClient client;
public CustomTrust() {
SSLContext sslContext =
sslContextForTrustedCertificates(trustedCertificatesInputStream());
client = new OkHttpClient.Builder()
.sslSocketFactory(sslContext.getSocketFactory())
.build();
}
public void run() throws Exception {
Request request = new Request.Builder()
.url("https://publicobject.com/helloworld.txt")
.build();
Response response = client.newCall(request).execute();
System.out.println(response.body().string());
}
private InputStream trustedCertificatesInputStream() {
... // Full source omitted. See sample.
}
public SSLContext sslContextForTrustedCertificates(InputStream in) {
... // Full source omitted. See sample.
}