android - 在 2021 年 9 月 30 日之后使用 LetsEncrypt SSL 证书在 Android 7 CERTIFICATE_VERIFY

android - 在 2021 年 9 月 30 日之后使用 LetsEncrypt SSL 证书在 Android 7 CERTIFICATE_VERIFY_FAILED 上 flutter

转载作者：行者123 更新时间：2023-12-04 23:36:15

2021 年 9 月 30 日之后，在旧的 Android 7 设备上使用 Let's Encrypt SSL 证书对网站的 https 获取/发布请求失败并出现以下错误:

HandshakeException: Handshake error in client (OS Error: CERTIFICATE_VERIFY_FAILED: certificate has expired(handshake.cc:354))

此错误不会出现在较新的 Android 或 Apple 设备上。
为什么这个错误会在旧的 Android 手机上突然出现？
我该如何解决这个问题？

最佳答案

解决方案
在 Flutter 中，为了再次在旧设备上建立 SSL https 连接到 Let's Encrypt SSL 保护的网站，我们可以通过 SecurityContext 提供 Let's Encrypt 的可信证书。至dart:io HttpClient对象(来自 dart 原生通信库)，我们可以直接使用它来进行 https get/post 调用，或者我们可以提供自定义的 HttpClient flutter/飞镖package:http IOClient如果我们使用 popular pub.dev package .
例子
这是一个 Flutter 单元测试，它创建了 dart:io HttpClient与 SecurityContext提供给它的 Let's Encrypt 根证书。那么，这个HttpClient提供给 package:http IOClient哪个工具是 Client接口(interface)，可用于所有常用的get , post等电话。

import 'dart:convert';
import 'dart:typed_data';
import 'dart:io';

import 'package:test/test.dart';
import 'package:http/http.dart' as http;
import 'package:http/io_client.dart';

void main() {
  const sslUrl = 'https://valid-isrgrootx1.letsencrypt.org/';

  /// From dart:io, create a HttpClient with a trusted certificate [cert]
  /// added to SecurityContext.
  /// Wrapped in try catch in case the certificate is already trusted by
  /// device/os, which will cause an exception to be thrown.
  HttpClient customHttpClient({String cert}) {
    SecurityContext context = SecurityContext.defaultContext;

    try {
      if (cert != null) {
        Uint8List bytes = utf8.encode(cert);
        context.setTrustedCertificatesBytes(bytes);
        print('createHttpClient() - cert added!');
      }
    } on TlsException catch (e) {
      if (e?.osError?.message != null &&
          e.osError.message.contains('CERT_ALREADY_IN_HASH_TABLE')) {
        print('createHttpClient() - cert already trusted! Skipping.');
      } else {
        print('createHttpClient().setTrustedCertificateBytes EXCEPTION: $e');
        rethrow;
      }
    }

    return new HttpClient(context: context);
  }

  /// Use package:http Client with our custom dart:io HttpClient with added
  /// LetsEncrypt trusted certificate
  http.Client createLEClient() {
    IOClient ioClient;
    ioClient = IOClient(customHttpClient(cert: ISRG_X1));
    return ioClient;
  }

  /// Example using a custom package:http Client
  /// that will work with devices missing LetsEncrypt
  /// ISRG Root X1 certificates, like old Android 7 devices.
  test('HTTP client to LetsEncrypt SSL website', () async {
    http.Client _client = createLEClient();
    http.Response _response = await _client.get(sslUrl);
    print(_response.body);
    expect(_response.statusCode, 200);
    _client.close(); // remember to close client as per https://pub.dev/packages/http
  });
}

/// This is LetsEncrypt's self-signed trusted root certificate authority
/// certificate, issued under common name: ISRG Root X1 (Internet Security
/// Research Group).  Used in handshakes to negotiate a Transport Layer Security
/// connection between endpoints.  This certificate is missing from older devices
/// that don't get OS updates such as Android 7 and older.  But, we can supply
/// this certificate manually to our HttpClient via SecurityContext so it can be
/// used when connecting to URLs protected by LetsEncrypt SSL certificates.
/// PEM format LE self-signed cert from here: https://letsencrypt.org/certificates/
const String ISRG_X1 = """-----BEGIN CERTIFICATE-----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=
-----END CERTIFICATE-----""";

由于此单元测试是在 的台式机/笔记本电脑上运行的有 ISRG Root X1 证书，它可能不是很有趣/有用。获得更新的系统将安装此证书颁发机构 (CA) 证书，并且“应该”在验证 Let's Encrypt SSL 证书的“信任链”时没有问题。
但是在 旧设备 没有 ISRG Root X1 证书并且永远不会，使用上面的两个函数 customHttpClient()和 createLEClient()当 LE 的 CA 证书(ISRG Root X1)丢失时，我们可以与 Let's Encrypt SSL 保护的 Internet 资源建立 https/TLS 连接。
为什么会这样
Let's Encrypt SSL 证书是使用数字签名信任 (DST) 的交叉签名创建/颁发的，DST 是一个较旧的、完善的证书颁发机构 (CA)。
被广泛信任的 CA 交叉签名意味着 Let's Ecrypt (LE) SSL 证书从第一天(大约 5 年前)开始就被几乎所有应用程序和设备接受为合法证书。
DST 用于交叉签署 LE 证书的证书于 2021 年 9 月 30 日到期。这意味着 LE 证书的“信任链”不再被一些旧设备接受。
有几种解决方案可以解决这个问题，这只是一种不需要最终用户干预的方法。
为什么这会影响 Android 7.1.1 之前的 Flutter
(这是我的猜测……)
Dart VM(以及因此，Flutter)使用 BoringSSL library ，OpenSSL 的 Google 分支。
当找到任何匹配的信任链、无效(即过期)或其他情况时，Dart VM 中的 BoringSSL 将停止搜索有效的信任链。 Google 的 Dart 团队遇到了这个 issue in June (不是因为 Let's Encrypt 的 DST 交叉签名过期，而是类似的问题)并创建了 patch for it on Aug 26 .该补丁可能会随 Dart 2.15 一起推出。当那个版本的 Dart 被引入 Flutter 时，我希望/猜测这个补丁会解决这个问题。
更多信息
Background on expiration of DST root cert from LE
More background on DST expiration & cert chaining help from LE
Let's Encrypt has an ongoing mega-thread for the issues caused by the DST root cert expiration here

关于android - 在 2021 年 9 月 30 日之后使用 LetsEncrypt SSL 证书在 Android 7 CERTIFICATE_VERIFY_FAILED 上 flutter ，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/69511057/

文章推荐： android - 如何安装 Bumblebee 2021.1.1 Android Studio 补丁？

文章推荐： azure - 如何为Azure Function应用程序v2.0设置无限超时

文章推荐： ansible - 在ansible中设置强制限制参数

文章推荐： java - 我可以用 Java 编写 Jetpack Compose 组件吗？

c - 在 getch() 之后，即使在输入 1-6 之后，程序也会忽略 if。
我的代码有问题。它总是忽略if(userDigit=1).. 谁能告诉我这里出了什么问题？ for(i=0; i=1) { //
javascript - 即使在使用 $(document).ready(function() {}) 之后，jquery click 函数也无法正常工作；甚至在使用 $(function) block 之后
我正在尝试从字符串 html_doc 中提取 id=obj1 并尝试将 onclick 函数附加到它 document.addEventListener("DOMContentLoaded", fu
CSS动画从一个类到另一个类的变化::之后
我正在尝试使用 css 动画来动画化从一个类到另一个类的变化。基本思想是在用户单击按钮时为从一个边缘滑动到另一个边缘的 slider 设置动画。到目前为止我的代码。 https://jsfiddle
css - 背景颜色过渡和不透明度过渡同步问题之前/之后
我目前面临使用前后伪元素淡入导航项的问题。当我悬停导航项时，它必须将其背景颜色从白色更改为蓝色。没什么疯狂的。但它也必须显示两个背景图像，分别通过将::before 伪元素从 0 更改为 1 和::
sql - SQLite3和Alter表..之后
有没有简单的方法可以在最近的sqlite版本中修改表，使其与预定义的架构匹配？架构： war_id INTEGER NOT NULL, clanname VARCHAR(64), clanhomep
PHP 搜索获取文本之前/之后
我该如何将我的搜索结果变成这样的: http://i.stack.imgur.com/NfPGs.png 结果显示特定术语在单元格中的位置。我目前有这个基本的搜索脚本: $terms =
javascript - 追加后隐藏输入(之后)
我正在尝试使用按钮创建输入字段。但我想要的是，当创建输入字段时，我想用相同的按钮隐藏创建的输入字段。我尝试了 slideToggle 函数，但效果不是很好。 $('#addEmail').one('
ios - iOS工具之前/之后
我想做这样的事情: Reference of image. 我所做的:两个 UIImagesView，一个带有 UIViewContentModeLeft，另一个带有 UIViewContentMod
mysql - 使用自动增量字段插入触发器之前/之后
我在使用应该修复表中列的插入触发器时遇到了问题: id - auto increment int thread_id - int [NULL] 我想要实现的是将 thread_id 设置
Python tkinter 之后
我使用 tinter.after() 每 200 毫秒刷新一次树莓派上模拟时钟的显示。一开始还可以，但逐渐地，每次刷新之间的时间达到大约 2-3 秒。是否有任何解决方案可以将刷新间隔保持在 200m
html - 如何从右到左为元素宽度设置动画::之后？
我有一个按钮，它使用::after 伪来填充背景。目前它从左到右填充，这在宽度从 0 到 100% 时有意义。但是，我希望它翻转它填充的方式。 a.project--link { margin:
html - 嵌入跨度和伪元素的问题:之后
我正在尝试添加带有伪元素:after的下划线来注释一些文本。我的问题是，我想强调下划线。在此示例中，这是短语“实际上确实可以...”和“ ...不起作用”。 .test { margin-top
css - 使元素出现在上一个文本之前/之后？
鉴于此: This is a test It is 有没有我可以应用到的 CSS？那它会出现在“This is...”之前，并且在 PREVIOUS LINE 之前吗？ float:left; d
css - 伪元素之前/之后
我正在使用链接左侧的图像。现在，我使用图像的::before 属性来显示，但它显示在链接的上方。我需要对齐它。这是一张照片: Link 我使用的代码是: .vocabulary-duration
css-之后。如何隐藏最后一个伪元素
我有一个页脚有与 6 body {background:#bbb;} .main-footer a::after { content: " | "; color: white; mar
css - 如何更改子元素的::之后
我有一个父元素和一些子元素，但我不能直接更改它们的 CSS。所以，我试图在父元素的 CSS 中更改我 child 的 CSS。示例: .parent { & .child {
CSS:带有标题的内容之前/之后
我可以 div:after { content: "hello" } 但我能否为 hello 文本添加标题，以便当我用鼠标悬停它时显示标题？谢谢最佳答案你不需要伪元素: p { ba
css - :之后与::之后
CSS 2.1 :after 和 CSS 3 ::after 伪选择器(除了 ::after 旧浏览器不支持)？是否有任何实际理由使用更新的规范？最佳答案这是伪类与伪元素的区别。除了 ::fir
我花了千把块给家里装上了“智能家居”之后
「掏出钥匙开门，然后在黑暗中摸索着墙壁开关的位置，最后将室内的灯点亮。」这是一个星期之前，我每天晚上下班回家时的固定戏码，也可能是大部分人每天回家时的经历。这种「一对一」的日常琐碎还有许多许
jquery - 使用 .before();之后();包裹元素
我正在尝试包装 , ，和具有的元素修复我无法直接编辑的表单上的某些定位。由于某种原因，当我尝试使用以下代码时: $("label").before(""); $("input[type=tex

行者123

个人简介

我是一名优秀的程序员,十分优秀！

作者热门文章

滴滴打车优惠券免费领取

全站热门文章

首页

博学

6Ren·AI

商城

android - 在 2021 年 9 月 30 日之后使用 LetsEncrypt SSL 证书在 Android 7 CERTIFICATE_VERIFY_FAILED 上 flutter