本文要解决的两类问题:
1. 在Android4.1-Android5.0的系统上启用TLSv1.1和TLSv1.2
2. java.lang.IllegalArgumentException: protocol TLSv1.1 is not supported
这两个问题比较具有代表性,在群里面讨论的时候见过的次数也是最多的,因此有些人遇到的问题也许协议名称不一样,但是本质都是类似的。
问题原因和解决思路分析
从Android5.0行为变更可以看到Android5.0开始默认启用了TLSv1.1和TLSv1.2,但是从Android4.1开始TLSv1.1和TLSv1.2其实就被支持了,只是默认没有启用而已。
我们最常用到的几种协议是SSLv3、TLSv1、TLSv1.1和TLSv1.2,解决上面两个问题要搞清楚的是这几个协议在Android系统中被支持的情况和被启用的情况,然后我们结合minSdkVersion和targetSdkVersion来选择协议即可,不同版本的Android系统对上述协议的支持情况:
客户端(SSLSocket)的支持情况:
服务端(SSLServerSocket)的支持情况:
数据来源:https://developer.android.com/reference/javax/net/ssl/SSLSocket
注意:这里说的客户端和服务端不是指Android端和JavaEE端/PHP端(还有Python、.NET等等),是指的在Android开发中的客户端Socket(SSLSocket)和服务端Socket(SSLServerSocket)。
到这里其实已经知道本文开始处的问题的原因了,TLSv1.1和TLSv1.2从Android4.1(Api级别16)开始才被支持,从Android4.4 Wear(Api级别20)才被启用(手机是Android5.0,Api级别21),因此在不同版本的Android系统中会出现需要被启用和启用时报不被支持的问题。
我们可以写一个TLS协议通用的兼容类,在所有的Android中强制启用已经被支持的所有协议,总结一下就是Android8.0及以上系统可以强制启用TLSv1、TLSv1.1和TLSv1.2协议,Android4.1-Android7.1.1系统可以强制启用SSLv3、TLSv1、TLSv1.1和TLSv1.2协议,其它版本系统可以强制启用SSLv3和TLSv1协议。
综上所述,如果开发者使用SSLv3协议,那么minSdkVersion不限制,targetSdkVersion不高于25,并且需要尽快更新为TLSv1.1协议或者TLS1.2协议;如果开发者使用TLSv1.1协议或者TLSv1.2协议,那么minSdkVersion应该不低于16,targetSdkVersion不限制;如果开发者使用TLSv1协议,那么目前不受限制。
本文内容是目前本人了解到的知识,如果有其它更好解决方案或者本文没有讲到的要点请读者在评论中告知!
代码实现
我们需要让SSLSocket启用对应的协议,代码对应的方法是:
1 SSLSocket#setEnabledProtocols(String[]);
因此我们需要先在不同版本的Android系统中生成不同的协议数组:
SSLSocket是由SSLSocketFactory负责生成的,我们再写一个SSLSocketFactory的包装类,主要代码如下:
特别强调:成员变量delegate强烈建议不要更改,原因是客户端使用OkHttp(本人是使用okhttp-urlconnection时遇到的问题,没有测试直接使用OkHttp是否存在问题)时,OkHttp会反射SSLSocketFactory的delegate变量来做一些操作,否则会出现Https请求失败的问题。
网友评论