我所知道的HTTPS

我所知道的HTTPS.png

加密相关

这里主要介绍对称加密和非对称加密。

对称加密采用对称密码编码技术，也就是编码和解码采用相同的描述字符。既加解密使用的是相同的秘钥。对称加密使用简单，密钥较短，加密和解密过程较快，耗时短，常见的对称加密算法有DES，3DES，lDEA，AES，RC4等

非对称加密其加密算法需要两个密钥：公开密钥（publickey）和私有密钥（private），两者是一对的。如果用公钥加密，只能用私钥才能解密。非对称加密保密性好，但加密和解密花费的时间较长，不适合对大文件加密而只适合对少量的数据加密。常见的非对称加密算法有RSA，ECC，DSA(数字签名)等

证书的校验

网站需要向权威机构，申请证书。有人开始会想，我能不能像权威机构一样自己生成证书呢？ 也就是办理假证。那么就会存在有证书真假的辨别。以浏览器为例，在发起https请求的时候，浏览器会拿到目标地址的证书,然后从系统、浏览器内部的证书链来检查证书是否合法。这个合法性的校验包含（证书是否合法、是否过期、是否被加入黑名单等等）

HTTPS 流程

HTTPS 简单的说就是安全版的HTTP，因为HTTP协议的数据都是明文进行传输的，所以对于一些敏感信息的传输就很不安全，为了安全传输敏感数据，网景公司设计了SSL（Secure Socket Layer），在HTTP的基础上添加了一个安全传输层，对所有的数据都加密后再进行传输，客户端和服务器端收到加密数据后按照之前约定好的秘钥解密

image.png

抓包工具还能查看到 HTTPS 的数据

在解释这个问题的时候，我们先回忆下我们如何配置抓包工具的。当我们使用Charles的时候，会安装一个证书到我们的手机上。当我们使用代理进行，就会使用刚才安装的证书来校验证书的合法性。而Charles做为一个中间人，对应用来说，它承担服务器的作用。对服务器来说，它又是客户端。这样就可以查看到数据了。

而如果对于没有安装Charles证书的正常用户，就无法查看数据了。

Android 中使用 HTTPS

在使用HTTPS的时候，我们需要确定，我们的服务器中的证书是否为权威机构颁布的。 假设如果是权威机构颁布的话，就可以通过系统的证书链来进行校验了。也就是不需要什么配置，即可访问。Android 已经帮我们预置了150多个证书，这些证书你可以在设置->安全->信任的凭据中看到。

当服务器使用，自签名的证书的时候，如果不加以配置的话。就会出现javax.net.ssl.SSLHandshakeException。因为客户端不信任服务器的证书。这种情况，我们就需要手动将其信任。但是也不能完全不校验，所以我们需要将服务端生成的证书放入到我们的APK中，进行校验。

1. 首先需要将证书放到assets目录下。
2. 然后校验证书.

 protected static SSLSocketFactory getSSLSocketFactory(Context context, int[] certificates) {

        if (context == null) {
            throw new NullPointerException("context == null");
        }

        
        CertificateFactory certificateFactory;
        try {
            certificateFactory = CertificateFactory.getInstance("X.509");
            
            KeyStore keyStore = KeyStore.getInstance(KeyStore.getDefaultType());
            keyStore.load(null, null);

            for (int i = 0; i < certificates.length; i++) {
                
                InputStream is = context.getResources().openRawResource(certificates[i]);
                keyStore.setCertificateEntry(String.valueOf(i), certificateFactory.generateCertificate(is));

                if (is != null) {
                    is.close();
                }
            }
            
            TrustManagerFactory trustManagerFactory = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
            trustManagerFactory.init(keyStore);

            
            SSLContext sslContext = SSLContext.getInstance("TLS");
            sslContext.init(null, trustManagerFactory.getTrustManagers(), new SecureRandom());
            return sslContext.getSocketFactory();

        } catch (Exception e) {

        }
        return null;
    }

3. 使用这个校验器

private void onHttpCertficates(OkHttpClient.Builder builder) {
        int[] certficates = new int[]{R.raw.media};
        builder.socketFactory(getSSLSocketFactory(AppContext.context(), certficates));
    }
    

但是，证书还是会存在过期的可能性。 所以还是尽早使用权威机构所颁发的证书吧。