使用不受信任的证书在 Android 应用程序中安全支持 HTTPS

Question

我知道这个问题被问了好几次，但我没有找到任何完整的解决方案...上下文如下：我正在开发一个 Android 应用程序，它允许用户连接到他的自托管 Web 应用程序实例。有用户联系我，询问是否可以添加HTTPS的支持，当然还有自制证书的支持。所以我读了很多东西，这就是我的理解：

• 简单但不安全的解决方案是允许所有证书，而不检查任何内容。我实现了它并且它有效，但这显然不是一个好的解决方案！
• 另一个解决方案是创建包含所需证书的密钥库。但一方面我事先不知道用户的证书，另一方面，很难要求想要使用这个带有 HTTPS 的应用程序的用户玩 keytool 或其他东西......

所以我例如，想要实现与网络浏览器相同的解决方案。因此，当用户第一次尝试使用 HTTPS 连接到其自托管服务器时，应用程序会向他显示不受信任的证书的详细信息，并询问他是否确定要连接。通过选择“是的，我确定”，该证书将被存储，并且应用程序永远不会询问他任何相关信息。

目前，我正在使用带有 HTTPClient 和自定义 SSLSocketFactory 的解决方案，它允许所有证书... 我还看到了类似 SLSocketFactory.BROWSER_COMPATIBLE_HOSTNAME_VERIFIER 的东西，但我不太明白它是否可以帮助我。

您知道我如何提供用户友好且安全的解决方案来使用 HTTPS 和自制证书吗？