在移动互联网时代，HTTPS证书是保障用户数据安全的“数字门锁”。随着Android系统不断更新，其对HTTPS证书的校验机制也在升级。本文将用通俗的语言，结合具体案例，带你理解Android新HTTPS证书的工作原理、潜在风险及配置方法。

一、HTTPS证书在Android中的作用

HTTPS证书就像快递包裹上的“防伪标签”，由权威机构（CA）颁发，用于验证服务器身份。当你的手机访问一个银行APP时，系统会检查服务器的证书是否合法：

1. 有效性：证书是否在有效期内（比如2025年1月1日-2025年12月31日）。

2. 可信性：颁发机构是否被Android信任（如DigiCert、Let's Encrypt）。

3. 匹配性：域名是否与证书申明的一致（比如访问`www.example.com`，但证书是`*.google.com`则会报警）。

案例：某金融APP因忘记续费证书导致过期，用户打开APP时看到“此连接不安全”的警告，直接导致当日交易量下降30%。

二、Android新版本对HTTPS证书的改动

从Android 7.0（Nougat）开始，系统做了一项关键调整：不再信任用户自行安装的CA证书（除非手动配置网络安全性配置）。这意味着：

- 旧方式失效：过去企业内网测试时，可以手动安装自签名证书抓包分析流量（比如用Burp Suite），现在默认会被拦截。

- 开发者应对方案：需在`res/xml/network_security_config.xml`中明确声明信任的证书。

```xml

example.com

```

风险案例：某电商APP因未适配新规则，导致部分华为/小米手机无法加载图片，排查后发现是CDN域名未正确配置信任链。

三、开发者常见踩坑点与解决方案

1. 自签名证书报错

- 现象：测试环境出现`SSLHandshakeException`。

- 解决：将测试用的CA文件放入App资源目录（如`res/raw/`），并通过上述配置文件引用。

2. 中间人攻击风险

- 攻击模拟：黑客在公共WiFi部署伪造证书，试图窃取用户登录信息。

- 防御措施：启用“证书固定”（Certificate Pinning），只认可指定公钥或指纹。

```kotlin

// Kotlin示例：OkHttp实现证书固定

val certificatePinner = CertificatePinner.Builder()

.add("api.example.com", "sha256/AAAAAAAAAAAAAAAA=") // 替换为真实指纹

.build()

val client = OkHttpClient.Builder().certificatePinner(certificatePinner).build()

3. 多域名适配问题

- 场景：主站用DigiCert证书，但图片服务商用了Sectigo的野卡证书记录书。记录书(泛域名证书记录书)。记录书(泛域名证书记录书)。记录书(泛域名证书记录书)。记录书(泛域名证书记录书)。记录书(泛域名证书记录书)。记录书(泛域名证书记录书)。记录书(泛域名证书记录书)。记录书(泛域名证书记录书)。记录书(泛域名证书记录书)

TAG:android 新https证书,android 证书管理,android app证书,生成安卓证书,android证书安装器,android ssl证书