如何使用主机名验证器?
How to use HostnameVerifier?
我现在正在使用 KeyManager 和 TrustManager 试验 SSL 配置,除了 HostNameVerifier 部分外,我觉得一切都很清楚。
我已阅读以下内容:
https://docs.oracle.com/javase/7/docs/api/javax/net/ssl/HostnameVerifier.html
https://lightbend.github.io/ssl-config/HostnameVerification.html
所以基本上它在请求的URL和证书中的URL不匹配时生效。
处理此问题的最佳做法是什么?
new HostnameVerifier() {
@Override
public boolean verify(String hostname, SSLSession session) {
// some code
}
};
从安全性(比如中间人攻击)的角度来看,我认为它必须 return false 所有 time.But 在这种情况下,这整个事情的目的是什么?
然而,大多数时候我在网上冲浪时遇到的解决方案是 return 原始 'true'(没有对参数进行任何处理)。
所以我很困惑何时、为何以及如何使用它。
能否详细说明一下?
From security(like man in the middle attack) point of view I think it must return false all the time.
几乎正确。仅当默认验证检测到问题时才调用此方法。在几乎所有情况下,此类问题都意味着应该中止连接以确保其安全。
However surfing on the internet most of the time I come accross solutions that return a raw 'true' (without any work on the arguments).
这几乎每次都是错误的。此类代码的作者通常不理解其中的含义(正如您正确所说的那样可能是 MITM),只是希望他们的代码能够以某种方式工作。是的,它会起作用,但它也会在不应该起作用的时候起作用,即它是不安全的。
默认验证失败的典型原因是服务器未正确配置错误的证书或使用错误的主机名(即不是证书中的主机名)访问服务器。
So its confusing to me when,why and how should I use it.
只有当您知道主机正在返回主题错误的证书时,您才应该使用它,但您也知道确切的错误所在并且会在您的实现中正确验证这种期望。
当然,最好不要解决所有访问服务器的应用程序,而是解决真正的问题。根据问题的真正原因,这通常意味着修复服务器上的证书或修复用于访问服务器的主机名。
检查会话主机是否符合我们的预期。
public boolean verify(String hostname, SSLSession session) {
return hostname.equals(session.getPeerHost());
}
我现在正在使用 KeyManager 和 TrustManager 试验 SSL 配置,除了 HostNameVerifier 部分外,我觉得一切都很清楚。
我已阅读以下内容:
https://docs.oracle.com/javase/7/docs/api/javax/net/ssl/HostnameVerifier.html
https://lightbend.github.io/ssl-config/HostnameVerification.html
所以基本上它在请求的URL和证书中的URL不匹配时生效。
处理此问题的最佳做法是什么?
new HostnameVerifier() {
@Override
public boolean verify(String hostname, SSLSession session) {
// some code
}
};
从安全性(比如中间人攻击)的角度来看,我认为它必须 return false 所有 time.But 在这种情况下,这整个事情的目的是什么?
然而,大多数时候我在网上冲浪时遇到的解决方案是 return 原始 'true'(没有对参数进行任何处理)。
所以我很困惑何时、为何以及如何使用它。
能否详细说明一下?
From security(like man in the middle attack) point of view I think it must return false all the time.
几乎正确。仅当默认验证检测到问题时才调用此方法。在几乎所有情况下,此类问题都意味着应该中止连接以确保其安全。
However surfing on the internet most of the time I come accross solutions that return a raw 'true' (without any work on the arguments).
这几乎每次都是错误的。此类代码的作者通常不理解其中的含义(正如您正确所说的那样可能是 MITM),只是希望他们的代码能够以某种方式工作。是的,它会起作用,但它也会在不应该起作用的时候起作用,即它是不安全的。
默认验证失败的典型原因是服务器未正确配置错误的证书或使用错误的主机名(即不是证书中的主机名)访问服务器。
So its confusing to me when,why and how should I use it.
只有当您知道主机正在返回主题错误的证书时,您才应该使用它,但您也知道确切的错误所在并且会在您的实现中正确验证这种期望。
当然,最好不要解决所有访问服务器的应用程序,而是解决真正的问题。根据问题的真正原因,这通常意味着修复服务器上的证书或修复用于访问服务器的主机名。
检查会话主机是否符合我们的预期。
public boolean verify(String hostname, SSLSession session) {
return hostname.equals(session.getPeerHost());
}