一次SSLPeerUnverifiedException，SSLHandshakeException问题的分析

一次SSLPeerUnverifiedException，SSLHandshakeException的问题分析

 

最近工作遇到一个https链接，通过pc(浏览器，curl)能正常访问，ios能正常访问，但是在android里访问异常

使用DefaultHttpClient访问

javax.net.ssl.SSLPeerUnverifiedException: No peer certificate

使用AndroidHttpClient访问

javax.net.ssl.SSLHandshakeException: com.android.org.bouncycastle.jce.exception.ExtCertPathValidatorException: Could not validate certificate: Certificate not valid until Tue Jun 07 08:00:00 GMT+08:00 2016 (compared to Tue May 03 22:25:19 GMT+08:00 2016)

 

 

通过抓包发现

pc访问，服务器返回了正确的证书，所以访问正常

 

 

抓包工具是'Wireshark 2.0.4 Intel 64.dmg’

https://www.wireshark.org/download/osx/all-versions/

android访问，返回了错误的证书，所以访问不正常

抓包工具：tcpdump:  http://www.androidtcpdump.com/

通过比较pc，android与服务器的tls协议交互，

发现tls版本不同，pc使用tlsv1.2 android使用tls1

pc的client hello 协议中包含server_name字断，而android的client hello协议中没有

 

原因分析：

经过咨询运维同学后，得出结论android上的httpclient没有支持sni，sni(Server Name Indication)是个什么东西呢

这篇文件讲的很清楚了http://fengchj.com/?p=2302，各位看官可以去仔细看看。简单讲就是，同一个机器的同一个的端口上配置了两个https站点，需要通过server_name判断它访问的是哪一个站点，然后返回相应的证书。

解决办法：

这篇文章写的很清楚，

http://blog.dev001.net/post/67082904181/android-using-sni-and-tlsv12-with-apache

简单说就是调用setHostName方法，添加相应的hostname。笔者也正是通过这个方式解决的。非常有效。