一次SSLPeerUnverifiedException,SSLHandshakeException问题的分析

一次SSLPeerUnverifiedException,SSLHandshakeException的问题分析

 

最近工作遇到一个https链接,通过pc(浏览器,curl)能正常访问,ios能正常访问,但是在android里访问异常

使用DefaultHttpClient访问 

javax.net.ssl.SSLPeerUnverifiedException: No peer certificate


 

 

使用AndroidHttpClient访问

javax.net.ssl.SSLHandshakeException: com.android.org.bouncycastle.jce.exception.ExtCertPathValidatorException: Could not validate certificate: Certificate not valid until Tue Jun 07 08:00:00 GMT+08:00 2016 (compared to Tue May 03 22:25:19 GMT+08:00 2016)

 
 

通过抓包发现

pc访问,服务器返回了正确的证书,所以访问正常

 
 

抓包工具是'Wireshark 2.0.4 Intel 64.dmg’

https://www.wireshark.org/download/osx/all-versions/

 

android访问,返回了错误的证书,所以访问不正常

抓包工具:tcpdump:  http://www.androidtcpdump.com/

 

通过比较pc,android与服务器的tls协议交互,

发现tls版本不同,pc使用tlsv1.2 android使用tls1

pc的client hello 协议中包含server_name字断,而android的client hello协议中没有

 

 

原因分析:

经过咨询运维同学后,得出结论android上的httpclient没有支持sni,sni(Server Name Indication)是个什么东西呢

这篇文件讲的很清楚了http://fengchj.com/?p=2302,各位看官可以去仔细看看。简单讲就是,同一个机器的同一个的端口上配置了两个https站点,需要通过server_name判断它访问的是哪一个站点,然后返回相应的证书。

 

解决办法:

这篇文章写的很清楚,

http://blog.dev001.net/post/67082904181/android-using-sni-and-tlsv12-with-apache

简单说就是调用setHostName方法,添加相应的hostname。笔者也正是通过这个方式解决的。非常有效。

posted @ 2016-09-06 23:11  崇山峻岭  阅读(1694)  评论(0编辑  收藏  举报