一、HTTPS证书验证的基本原理

HTTPS协议的安全核心在于SSL/TLS证书验证机制。当Java客户端与HTTPS服务器建立连接时，会经历一个"握手"过程，就像两个陌生人见面要先确认对方身份一样。

正常情况下，Java会做三件事：

1. 检查证书是否由受信任的机构颁发（就像检查身份证是不是公安局发的）

2. 验证证书是否在有效期内（检查身份证过期没）

3. 确认域名与证书匹配（看身份证照片是不是你本人）

举个例子，当你用浏览器访问https://www.baidu.com时，浏览器会自动完成这些检查。如果一切正常，地址栏会出现小锁图标；如果发现问题（比如证书过期），就会弹出红色警告。

二、为什么要绕过证书验证？

在实际开发中，我们有时需要临时绕过这些安全检查：

1. 测试环境：开发测试时使用自签名证书（自己制作的"身份证"）

2. 老旧系统：对接的系统还在用过期的SSL证书

3. 特殊需求：爬取某些网站的加密数据

但要注意！这就像不检查身份证就让陌生人进家门——方便是方便了，安全风险也大大增加。

三、3种绕过HTTPS证书验证的方法

方法1：自定义TrustManager（信任所有证书）

```java

TrustManager[] trustAllCerts = new TrustManager[] {

new X509TrustManager() {

public void checkClientTrusted(X509Certificate[] chain, String authType) {}

public void checkServerTrusted(X509Certificate[] chain, String authType) {}

public X509Certificate[] getAcceptedIssuers() { return null; }

}

};

SSLContext sslContext = SSLContext.getInstance("SSL");

sslContext.init(null, trustAllCerts, new SecureRandom());

HttpsURLConnection.setDefaultSSLSocketFactory(sslContext.getSocketFactory());

```

风险提示：这相当于对所有人说"我相信你"，中间人攻击可以轻松窃听你的通信。

方法2：自定义HostnameVerifier（跳过主机名验证）

HttpsURLConnection.setDefaultHostnameVerifier(

(hostname, session) -> true // 总是返回true表示接受所有主机名

);

适用场景：当你的测试服务器IP经常变化，但不想频繁更新证书时使用。

方法3：直接忽略SSL错误（终极方案）

// Apache HttpClient示例

SSLContextBuilder builder = new SSLContextBuilder();

builder.loadTrustMaterial(null, (chain, authType) -> true); // 无条件信任

CloseableHttpClient httpClient = HttpClients.custom()

.setSSLContext(builder.build())

.setSSLHostnameVerifier(NoopHostnameVerifier.INSTANCE)

.build();

实际案例：某金融公司内部系统对接时发现对方还在用TLS1.0协议且证书配置错误，临时用此方案解决问题后立即通知对方修复。

四、安全风险与最佳实践

这些方法的危险性从高到低排序：

1. TrustManager + HostnameVerifier双开 → ??极度危险

2. 只自定义TrustManager → ??高风险

3. 只自定义HostnameVerifier → ??中等风险

必须遵守的安全底线：

- 生产环境绝对禁用

- 测试完成后立即移除

- 记录所有绕过操作

建议替代方案：

// 正确做法 - 将自签名证书导入本地信任库

KeyStore keyStore = KeyStore.getInstance(KeyStore.getDefaultType());

try (InputStream is = new FileInputStream("my_cert.pem")) {

Certificate cert = CertificateFactory.getInstance("X.509")

.generateCertificate(is);

keyStore.load(null);

keyStore.setCertificateEntry("my-cert", cert);

}

TrustManagerFactory tmf = TrustManagerFactory.getInstance(

TrustManagerFactory.getDefaultAlgorithm());

tmf.init(keyStore);

SSLContext sslContext = SSLContext.getInstance("TLS");

sslContext.init(null, tmf.getTrustManagers(), null);

五、思考

就像开车不能为了省事就拆掉刹车一样，HTTPS安全机制也不该随意关闭。笔者曾处理过一个真实案例：某电商APP为快速上线跳过了证书校验，结果被黑客伪造API服务器盗取了大量用户数据。

记住原则：

? 开发测试可以用临时方案

? 上线前必须恢复完整校验

? HTTPS不是摆设而是生命线

最后送大家一句话："便利性永远不该以牺牲安全性为代价"。当你写下`setHostnameVerifier((h,s)->true)`这行代码时，不妨先问问自己——这个风险我承担得起吗？

TAG:java不通过证书访问https,java无法验证证书将不执行该,java绕过ssl证书,java带证书访问https