Android 9.0默认阻止HTTP流量 APP需尽快升级HTTPS
2019年11月1日起,所有Android 9.0的应用程序APP都必须默认阻止HTTP流量,确保通过TLS协议保护进入或离开Android设备的所有网络流量,APP需尽快升级HTTPS。
Android 9.0将通过网络安全配置(Network Security Configuration)中的默认设置阻止APP中HTTP流量。网络安全配置(Network Security Configuration)是安卓N版本开始引入的一种安全功能,可以允许安卓开发者们在无需修改App代码的情况下自定义网络安全设置,可以允许或禁止特定域名或整个APP的HTTP流量。
当APP包含不安全的NSC配置时(比如允许所有域名存在未加密连接,或在调试模式之外接受用户提供的证书),最新版本的Android Studio和Google Play会在发布前的报告中警告开发人员,确保开发人员了解其安全配置,鼓励整个安卓生态系统采用HTTPS加密。
对于针对安卓9及更高版本的APP,默认对所有传输中的网络流量进行加密,并且仅信任安卓CA标准列表里的机构签发的证书。只有提供精心设置的例外声明文件,APP才能提供HTTP明文传输。
如果APP需要允许流量指向特定域名,可以通过添加一个NSC文件来做到这一点,该文件在默认安全策略中仅包含这些例外情况。请记住 你应该对不安全连接接收的数据保持警惕,他极有可能在传输过程中遭遇篡改。
如果app出于测试目的需要接受用户安装的证书(例如,在测试期间连接到本地服务器),请通过代码设置仅在调试模式下允许,确保APP生产版本中的连接是安全的。
安信SSL证书建议,所有安卓开发者为APP升级HTTPS加密,避免因默认阻止http流量导致应用程序连接不可用。
安信证书可提供Symantec、GeoTrust、Comodo等多家全球权威CA机构的SSL数字证书,全程专业指导,免手续费,欢迎前来咨询。