Android Lollipop以前のデバイスで「SSLハンドシェイクが中止されました：ssl = 0x618d9c18：システムコール中のI / Oエラー、ピアによる接続のリセット」

Question

レトロフィットが私を投げ続けるこの奇妙な問題を抱えています

「SSLハンドシェイクの中止：ssl = 0x618d9c18：システムコール中のI/Oエラー、ピアによる接続のリセット」

キットカットでは、Lollipopデバイスでも同じコードが正常に機能します。次のようなOkHttpClientクライアントを使用するIam

_public OkHttpClient getUnsafeOkHttpClient() { try { final TrustManager[] trustAllCerts = new TrustManager[] { new X509TrustManager() { @Override public void checkClientTrusted( Java.security.cert.X509Certificate[] chain, String authType) { } @Override public void checkServerTrusted( Java.security.cert.X509Certificate[] chain, String authType) { } @Override public Java.security.cert.X509Certificate[] getAcceptedIssuers() { return new Java.security.cert.X509Certificate[0]; } } }; int cacheSize = 10 * 1024 * 1024; // 10 MB Cache cache = new Cache(getCacheDir(), cacheSize); final SSLContext sslContext = SSLContext.getInstance("TLSv1.2"); sslContext.init(null, trustAllCerts, new Java.security.SecureRandom()); final SSLSocketFactory sslSocketFactory = sslContext .getSocketFactory(); OkHttpClient okHttpClient = new OkHttpClient(); okHttpClient = okHttpClient.newBuilder() .cache(cache) .sslSocketFactory(sslSocketFactory) .hostnameVerifier(org.Apache.http.conn.ssl.SSLSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER).build(); return okHttpClient; } catch (Exception e) { throw new RuntimeException(e); } } _

Iamはこのクライアントをこのように改造して使用しています

_Retrofit retrofit = new Retrofit.Builder() .baseUrl(URL) .client(getUnsafeOkHttpClient()) .addConverterFactory(GsonConverterFactory.create()) .build(); _

編集：getUnsafeOkHttpClient()を追加してもここでは効果がなく、getUnsafeOkHttpClient()を使用してsslチェックをバイパスすることはまったくお勧めしません

参考：この問題は、APIエンドポイントが_TLS 1.2_のみをサポートしているため、Androidデバイス_16<device<20_。だから_16<device<20_ 、カスタムSSLSocketFactoryを作成します

Navneet Krishna · Accepted Answer

Jesse Wilson fromokhttp、square ここ。私が述べたように、それは単純なハックであり、SSLSocketFactory変数の名前を変更する必要がありました

private SSLSocketFactory delegate;

デリゲート以外の名前を指定すると、エラーがスローされることに注意してください。私は完全なソリューションを以下に投稿しています

これは私のTLSSocketFactoryクラスです

public class TLSSocketFactory extends SSLSocketFactory { private SSLSocketFactory delegate; public TLSSocketFactory() throws KeyManagementException, NoSuchAlgorithmException { SSLContext context = SSLContext.getInstance("TLS"); context.init(null, null, null); delegate = context.getSocketFactory(); } @Override public String[] getDefaultCipherSuites() { return delegate.getDefaultCipherSuites(); } @Override public String[] getSupportedCipherSuites() { return delegate.getSupportedCipherSuites(); } @Override public Socket createSocket() throws IOException { return enableTLSOnSocket(delegate.createSocket()); } @Override public Socket createSocket(Socket s, String Host, int port, boolean autoClose) throws IOException { return enableTLSOnSocket(delegate.createSocket(s, Host, port, autoClose)); } @Override public Socket createSocket(String Host, int port) throws IOException, UnknownHostException { return enableTLSOnSocket(delegate.createSocket(Host, port)); } @Override public Socket createSocket(String Host, int port, InetAddress localHost, int localPort) throws IOException, UnknownHostException { return enableTLSOnSocket(delegate.createSocket(Host, port, localHost, localPort)); } @Override public Socket createSocket(InetAddress Host, int port) throws IOException { return enableTLSOnSocket(delegate.createSocket(Host, port)); } @Override public Socket createSocket(InetAddress address, int port, InetAddress localAddress, int localPort) throws IOException { return enableTLSOnSocket(delegate.createSocket(address, port, localAddress, localPort)); } private Socket enableTLSOnSocket(Socket socket) { if(socket != null && (socket instanceof SSLSocket)) { ((SSLSocket)socket).setEnabledProtocols(new String[] {"TLSv1.1", "TLSv1.2"}); } return socket; } }

そして、これは私がokhttpとレトロフィットでそれを使用した方法です

 OkHttpClient client=new OkHttpClient(); try { client = new OkHttpClient.Builder() .sslSocketFactory(new TLSSocketFactory()) .build(); } catch (KeyManagementException e) { e.printStackTrace(); } catch (NoSuchAlgorithmException e) { e.printStackTrace(); } Retrofit retrofit = new Retrofit.Builder() .baseUrl(URL) .client(client) .addConverterFactory(GsonConverterFactory.create()) .build();

詳細はこちらも確認できます

Paweł Dedio · Answer

メソッドOkHttpClient.Builderのため @ Navneet Krishna answerを変更しました。 builder.sslSocketFactory（tlsSocketFactory）は非推奨になりました。

public class TLSSocketFactory extends SSLSocketFactory { private final SSLSocketFactory delegate; private TrustManager[] trustManagers; @Inject public TLSSocketFactory() throws KeyStoreException, KeyManagementException, NoSuchAlgorithmException { generateTrustManagers(); SSLContext context = SSLContext.getInstance("TLS"); context.init(null, trustManagers, null); delegate = context.getSocketFactory(); } private void generateTrustManagers() throws KeyStoreException, NoSuchAlgorithmException { TrustManagerFactory trustManagerFactory = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm()); trustManagerFactory.init((KeyStore) null); TrustManager[] trustManagers = trustManagerFactory.getTrustManagers(); if (trustManagers.length != 1 || !(trustManagers[0] instanceof X509TrustManager)) { throw new IllegalStateException("Unexpected default trust managers:" + Arrays.toString(trustManagers)); } this.trustManagers = trustManagers; } @Override public String[] getDefaultCipherSuites() { return delegate.getDefaultCipherSuites(); } @Override public String[] getSupportedCipherSuites() { return delegate.getSupportedCipherSuites(); } @Override public Socket createSocket() throws IOException { return enableTLSOnSocket(delegate.createSocket()); } @Override public Socket createSocket(Socket s, String Host, int port, boolean autoClose) throws IOException { return enableTLSOnSocket(delegate.createSocket(s, Host, port, autoClose)); } @Override public Socket createSocket(String Host, int port) throws IOException, UnknownHostException { return enableTLSOnSocket(delegate.createSocket(Host, port)); } @Override public Socket createSocket(String Host, int port, InetAddress localHost, int localPort) throws IOException, UnknownHostException { return enableTLSOnSocket(delegate.createSocket(Host, port, localHost, localPort)); } @Override public Socket createSocket(InetAddress Host, int port) throws IOException { return enableTLSOnSocket(delegate.createSocket(Host, port)); } @Override public Socket createSocket(InetAddress address, int port, InetAddress localAddress, int localPort) throws IOException { return enableTLSOnSocket(delegate.createSocket(address, port, localAddress, localPort)); } private Socket enableTLSOnSocket(Socket socket) { if (socket instanceof SSLSocket) { ((SSLSocket) socket).setEnabledProtocols(new String[]{"TLSv1.1", "TLSv1.2"}); } return socket; } @Nullable public X509TrustManager getTrustManager() { return (X509TrustManager) trustManagers[0]; } }

次のように割り当てる必要があります。

TLSSocketFactory tlsTocketFactory = new TLSSocketFactory(); client = new OkHttpClient.Builder() .sslSocketFactory(tlsSocketFactory, tlsSocketFactory.getTrustManager()); .build();

algrid · Answer

ここでapi.data.gov.inのSSL/TLS情報を取得しました- https://www.ssllabs.com/ssltest/analyze.html?d=api.data.gov.in

TLSv1.2のみをサポートしているようです。古いAndroidバージョンには、最新のTLSバージョンに問題があります。ssllabsページの[ハンドシェイクシミュレーション]セクションでは、問題を確認することもできます。

Androidアプリケーションで実行するTLS 1.2サポートを有効にする方法（Android 4.1 JB）で実行する）利用可能なソリューションの場合。

Carlos Daniel · Answer

Navneet Krishnaに加えて、アプリのクラスで次のことをしなければなりませんでした。

ProviderInstaller.installIfNeededAsync

https://developer.Android.com/training/articles/security-gms-provider によると、これはSSLの悪用から保護するためにセキュリティプロバイダーを更新する必要があったためです。

My App Class：

public class AppClass extends MultiDexApplication { private static final String TAG = AppClass.class.getName(); private static Context context; private static AuthAPI authAPI; private static RestAPI buyersAPI; @Override public void onCreate() { super.onCreate(); /* enable SSL compatibility in pre-Lollipop devices */ upgradeSecurityProvider(); createAuthAPI(); createRestAPI(); } private void upgradeSecurityProvider() { try{ ProviderInstaller.installIfNeededAsync(this, new ProviderInstaller.ProviderInstallListener() { @Override public void onProviderInstalled() { Log.e(TAG, "New security provider installed."); } @Override public void onProviderInstallFailed(int errorCode, Intent recoveryIntent) { GooglePlayServicesUtil.showErrorNotification(errorCode, BuyersApp.this); Log.e(TAG, "New security provider install failed."); } }); }catch (Exception ex){ Log.e(TAG, "Unknown issue trying to install a new security provider", ex); } } private void createAuthAPI() { OkHttpClient.Builder authAPIHttpClientBuilder = new OkHttpClient.Builder(); Retrofit retrofit = new Retrofit.Builder() .client(enableTls12OnPreLollipop(authAPIHttpClientBuilder).build()) .baseUrl(DomainLoader.getInstance(context).getAuthDomain()) .addConverterFactory(GsonConverterFactory.create()) .build(); authAPI = retrofit.create(AuthAPI.class); } private static OkHttpClient.Builder enableTls12OnPreLollipop(OkHttpClient.Builder client) { if (Build.VERSION.SDK_INT >= 19 && Build.VERSION.SDK_INT < 22) { try { SSLContext sc = SSLContext.getInstance("TLSv1.2"); sc.init(null, null, null); TrustManagerFactory trustManagerFactory = TrustManagerFactory.getInstance( TrustManagerFactory.getDefaultAlgorithm()); trustManagerFactory.init((KeyStore) null); TrustManager[] trustManagers = trustManagerFactory.getTrustManagers(); if (trustManagers.length != 1 || !(trustManagers[0] instanceof X509TrustManager)) { throw new IllegalStateException("Unexpected default trust managers:" + Arrays.toString(trustManagers)); } X509TrustManager trustManager = (X509TrustManager) trustManagers[0]; client.sslSocketFactory(new Tls12SocketFactory(sc.getSocketFactory()), trustManager); ConnectionSpec cs = new ConnectionSpec.Builder(ConnectionSpec.MODERN_TLS) .tlsVersions(TlsVersion.TLS_1_2) .build(); List<ConnectionSpec> specs = new ArrayList<>(); specs.add(cs); specs.add(ConnectionSpec.COMPATIBLE_TLS); specs.add(ConnectionSpec.CLEARTEXT); client.connectionSpecs(specs); } catch (Exception exc) { Log.e("OkHttpTLSCompat", "Error while setting TLS 1.2", exc); } } return client; } private void createRestAPI() { OkHttpClient.Builder restAPIHttpClientBuilder = new OkHttpClient.Builder(); buyersAPIHttpClientBuilder.readTimeout(60, TimeUnit.SECONDS); buyersAPIHttpClientBuilder.connectTimeout(60, TimeUnit.SECONDS); buyersAPIHttpClientBuilder.writeTimeout(600, TimeUnit.SECONDS); buyersAPIHttpClientBuilder.addInterceptor(new NetworkErrorInterceptor()); buyersAPIHttpClientBuilder.addInterceptor(new TokenVerificationInterceptor()); Retrofit retrofit = new Retrofit.Builder() .client(enableTls12OnPreLollipop(restAPIHttpClientBuilder).build()) .baseUrl(DomainLoader.getInstance(context).getDomain()) .addConverterFactory(GsonConverterFactory.create(new GsonBuilder().setLenient().create())) .addConverterFactory(ScalarsConverterFactory.create()) .build(); buyersAPI = retrofit.create(RestAPI.class); } }

そして、私のTls12SocketFactoryクラス：

public class Tls12SocketFactory extends SSLSocketFactory { private static final String[] TLS_V12_ONLY = {"TLSv1.2"}; final SSLSocketFactory delegate; public Tls12SocketFactory(SSLSocketFactory base) { this.delegate = base; } @Override public String[] getDefaultCipherSuites() { return delegate.getDefaultCipherSuites(); } @Override public String[] getSupportedCipherSuites() { return delegate.getSupportedCipherSuites(); } @Override public Socket createSocket(Socket s, String Host, int port, boolean autoClose) throws IOException { return patch(delegate.createSocket(s, Host, port, autoClose)); } @Override public Socket createSocket(String Host, int port) throws IOException, UnknownHostException { return patch(delegate.createSocket(Host, port)); } @Override public Socket createSocket(String Host, int port, InetAddress localHost, int localPort) throws IOException, UnknownHostException { return patch(delegate.createSocket(Host, port, localHost, localPort)); } @Override public Socket createSocket(InetAddress Host, int port) throws IOException { return patch(delegate.createSocket(Host, port)); } @Override public Socket createSocket(InetAddress address, int port, InetAddress localAddress, int localPort) throws IOException { return patch(delegate.createSocket(address, port, localAddress, localPort)); } private Socket patch(Socket s) { if (s instanceof SSLSocket) { ((SSLSocket) s).setEnabledProtocols(TLS_V12_ONLY); } return s; } }

そして、KitKat以上を搭載したすべてのデバイスで魅力のように機能しています。

Waqas Ahmed · Answer

私のソリューションは誰かを助けるかもしれないと思います。

私のプロジェクトでは、古いAndroid（4.4）でSSL経由でJSONリクエストを行う必要があり、スレッドの冒頭で述べたように問題が発生し続けました。

修正するには、上記のとおりTls12SocketFactoryクラスを追加するだけでした。

しかし、修正したコードをプロジェクトクラスに追加しました

これをoncreateに追加しました

upgradeSecurityProvider();

コンテキストの関数を次のように変更しました。これですべてです。 SSL接続の問題はもうありません

private void upgradeSecurityProvider() { try{ ProviderInstaller.installIfNeededAsync(this, new ProviderInstaller.ProviderInstallListener() { @Override public void onProviderInstalled() { Log.e("SSLFix", "New security provider installed."); } @Override public void onProviderInstallFailed(int errorCode, Intent recoveryIntent) { // GooglePlayServicesUtil.showErrorNotification(errorCode, BuyersApp.this); Log.e("SSLFix", "New security provider install failed."); } }); }catch (Exception ex){ Log.e("SSLFix", "Unknown issue trying to install a new security provider", ex); } }

それがすべてであり、これ以上の問題はありません。