Android HTTPS证书不受信任？原因分析及解决方案

在Android应用开发中，与服务器进行HTTPS通信是十分常见的需求。但是，有时我们会遇到一种情况：明明在电脑浏览器上可以正常访问的HTTPS网站，在Android应用里却提示证书不受信任，导致应用无法连接服务器。这篇文章将深入分析这个问题的原因，并提供一些可行的解决方案。

HTTPS证书是由受信任的证书颁发机构（CA）签发的数字证书，它的作用是验证网站的身份并加密网站与客户端之间的通信。当Android应用尝试连接HTTPS服务器时，它会检查服务器提供的证书是不是由受信任的CA签发，以及证书是否还在有效期内。如果证书不受信任或者过期，Android系统就会阻止连接，并抛出类似“javax.net.ssl.SSLHandshakeException: java.security.cert.CertPathValidatorException: Trust anchor for certification path not found”的异常信息。

那么，为什么在电脑浏览器上可以正常访问，而在Android应用里却不行呢？这可能有以下几个原因：

1. Android系统缺少中间证书：

HTTPS证书通常采用链式结构，根证书由受信任的CA签发，CA可以签发其他的中间证书，最后再由中间证书签发服务器证书。如果Android系统只信任根证书，但是缺少必要的中间证书，它就无法验证服务器证书的有效性，就像拼图缺了一块，就无法看到完整的画面。

2. 证书链不完整：

服务器在提供证书的时候，需要提供完整的证书链，包括根证书、中间证书和服务器证书。如果服务器只提供了服务器证书，或者证书链中缺少了某些中间证书，Android系统也无法验证证书的有效性。这就好比寄信的时候，地址写得不完整，信件就无法送达目的地。

3. 证书过期或被吊销：

HTTPS证书有一定的有效期，就像我们的身份证一样，过期了就失效了。如果证书过期或者被吊销，Android系统就会认为证书无效。

4. 证书域名不匹配：

HTTPS证书通常与特定的域名绑定，就像门牌号和房屋一一对应。如果证书的域名和服务器的域名不匹配，Android系统也会认为证书无效。

5. Android系统版本过低：

一些比较旧的Android系统可能不支持某些新的证书格式或者加密算法，这也会导致证书不受信任。这就像用老式手机无法播放高清视频一样，是技术上的限制。

针对以上问题，我们可以采取以下解决方案：

1. 安装缺少的中间证书：

我们可以从证书颁发机构的网站下载缺少的中间证书，然后把它安装到Android系统的信任证书库中。具体的操作方法可以参考Android官方文档，就像给电脑安装新的驱动程序一样。

2. 确保证书链完整：

服务器管理员需要确保服务器在提供证书的时候，提供了完整的证书链。可以使用一些在线工具来检查证书链的完整性，就像检查行李箱里的东西是否齐全一样。

3. 更新证书：

如果证书过期或者被吊销，需要联系证书颁发机构更新证书，就像更新身份证一样。

4. 确保证书域名匹配：

服务器管理员需要确保证书的域名和服务器的域名完全匹配，就像确保门牌号和房屋对应一样。

5. 升级Android系统：

如果Android系统版本过低，可以尝试升级到最新版本，以获得更好的证书兼容性。这就像升级手机操作系统一样，可以获得更多新功能和更好的性能。

6. 代码层面处理：

在某些特殊情况下，比如开发环境或者测试环境，我们可能需要在代码层面忽略证书验证。但这是一种不安全的做法，只应该在特殊情况下使用，并且需要谨慎评估安全风险。这就像为了方便，不锁门就出门一样，存在安全隐患。

以下是一些代码示例，演示如何在Android应用中处理证书不受信任的问题：

示例1：安装自定义证书

KeyStore keyStore = KeyStore.getInstance(KeyStore.getDefaultType());
keyStore.load(null, null);
CertificateFactory cf = CertificateFactory.getInstance("X.509");
InputStream caInput = getResources().openRawResource(R.raw.my_ca);
Certificate ca = cf.generateCertificate(caInput);
caInput.close();
keyStore.setCertificateEntry("ca", ca);

TrustManagerFactory tmf = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
tmf.init(keyStore);

SSLContext context = SSLContext.getInstance("TLS");
context.init(null, tmf.getTrustManagers(), null);

OkHttpClient client = new OkHttpClient.Builder()
    .sslSocketFactory(context.getSocketFactory(), (X509TrustManager)tmf.getTrustManagers()[0])
    .build();

示例2：忽略证书验证（不推荐）

OkHttpClient client = new OkHttpClient.Builder()
    .hostnameVerifier((hostname, session) -> true)
    .sslSocketFactory(createUnsafeSslSocketFactory(), new TrustAllCerts())
    .build();

private static SSLSocketFactory createUnsafeSslSocketFactory() {
    try {
        TrustManager[] trustAllCerts = new TrustManager[] { new TrustAllCerts() };
        SSLContext sslContext = SSLContext.getInstance("SSL");
        sslContext.init(null, trustAllCerts, new SecureRandom());
        return sslContext.getSocketFactory();
    } catch (Exception e) {
        throw new RuntimeException(e);
    }
}

private static class TrustAllCerts implements X509TrustManager {
    @Override
    public void checkClientTrusted(java.security.cert.X509Certificate[] chain, String authType) throws CertificateException { }

    @Override
    public void checkServerTrusted(java.security.cert.X509Certificate[] chain, String authType) throws CertificateException { }

    @Override
    public java.security.cert.X509Certificate[] getAcceptedIssuers() {
        return new java.security.cert.X509Certificate[]{};
    }
}

Android应用中HTTPS证书不受信任的问题可能由多种原因导致。通过仔细分析问题，并采取相应的解决方案，我们可以确保应用能够安全可靠地与服务器进行通信。需要注意的是，忽略证书验证是一种不安全的做法，只应在特殊情况下使用，并且需要谨慎评估安全风险。

常见问题解答

1. 如何查看Android系统信任的证书列表？

可以在Android手机的“设置” -> “安全” -> “信任的凭据”中查看系统信任的证书列表。

2. 如何判断证书链是否完整？

可以使用一些在线工具，例如SSL Checker，来检查证书链的完整性。

3. 如何获取缺少的中间证书？

可以从证书颁发机构的网站下载缺少的中间证书。

4. 忽略证书验证会带来哪些安全风险？

忽略证书验证会使应用容易受到中间人攻击，攻击者可以拦截通信并窃取敏感信息。

5. 如何在代码中安装自定义证书？

可以使用Java的KeyStore和TrustManagerFactory类来安装自定义证书。具体方法可以参考示例代码。