Конфигурация сетевой безопасности

В Android N имеется функция "Конфигурация сетевой безопасности", позволяющая приложениям настраивать свои параметры сетевой безопасности в защищенном декларативном файле конфигурации без изменения программного кода приложения. Эти параметры можно настроить для определенных областей и приложений. Основные возможности этой функции:

  • Пользовательские якоря доверия. Настройка доверенных центров сертификации (ЦС) для защищенных соединений приложения. Примером может служить настройка доверия определенным самозаверенным сертификатам или ограничение набора общих ЦС, которым доверяет приложение.
  • Замена при отладке. Безопасная отладка защищенных соединений приложения без дополнительного риска для установленной базы.
  • Отказ от передачи данных открытым текстом. Защита приложений от случайной передачи данных открытым текстом.
  • Прикрепление сертификатов. Ограничение защищенных соединений приложения определенными сертификатами.

Добавление файла конфигурации безопасности

Функция конфигурации сетевой безопасности использует файл XML, где вы можете указать настройки своего приложения. Вы должны включить в манифест своего приложения запись, указывающую на этот файл. В следующем отрывке кода из манифеста показано, как создать такую запись:

<?xml version="1.0" encoding="utf-8"?>
...
<app ...>
    <meta-data android:name="android.security.net.config"
               android:resource="@xml/network_security_config" />
    ...
</app>

Настройка доверенных ЦС

Приложению может потребоваться возможность доверять пользовательскому набору центров сертификации (ЦС) вместо набора ЦС платформы, установленного по умолчанию. Наиболее распространенные причины:

  • Подключение к узлу с пользовательским ЦС (самозаверенным, внутренним корпоративным ЦС и т. д.)
  • Ограничение списка только доверенными ЦС вместо предустановленных.
  • Добавление дополнительных ЦС, не установленных в системе, в список доверенных.

По умолчанию защищенные соединения всех приложений (например, TLS, HTTPS) доверяют предустановленным системным ЦС, а приложения для API уровня 23 (Android M) и ниже также по умолчанию доверяют ЦС, добавленным пользователем. Приложение может настраивать свои соединения, используя base-config (для настройки на уровне приложения) или domain-config (для настройки на уровне доменов).

Настройка пользовательского ЦС

Предположим, вы хотите подключиться к своему узлу, использующему самозаверенный сертификат SSL, или к узлу, чей сертификат SSL был выпущен закрытым ЦС, которому вы доверяете, например внутренним ЦС вашей компании.

res/xml/network_security_config.xml:

<?xml version="1.0" encoding="utf-8"?>
<network-security-config>
    <domain-config>
        <domain includeSubdomains="true">example.com</domain>
        <trust-anchors>
            <certificates src="@raw/my_ca"/>
        </trust-anchors>
    </domain-config>
</network-security-config>

Добавьте самозаверенный сертификат или сертификат закрытого ЦС в формате PEM или DER в res/raw/my_ca.

Ограничение набора доверенных ЦС

Если приложению не нужно доверять всем ЦС, которым доверяет система, для него можно указать сокращенный набор доверенных ЦС. Это позволит защитить приложение от поддельных сертификатов, выпущенных любыми другими ЦС.

Настройка ограниченного набора доверенных ЦС похожа на настройку доверия пользовательскому ЦС для определенного домена, за тем исключением, что в ресурсе указывается несколько ЦС.

res/xml/network_security_config.xml:

<?xml version="1.0" encoding="utf-8"?>
<network-security-config>
    <domain-config>
        <domain includeSubdomains="true">secure.example.com</domain>
        <domain includeSubdomains="true">cdn.example.com</domain>
        <trust-anchors>
            <certificates src="@raw/trusted_roots"/>
        </trust-anchors>
    </domain-config>
</network-security-config>

Добавьте список доверенных ЦС в формате PEM или DER в res/raw/trusted_roots. Обратите внимание, что файл в формате PEM должен содержать только данные PEM без какого-либо дополнительного текста. Вы также можете указать несколько элементов <certificates> вместо одного.

Добавление дополнительных ЦС в доверенные

Приложению может потребоваться доверять дополнительным ЦС, которые не входят в список доверенных ЦС системы. Это может быть связано с тем, что эти ЦС еще не добавлены в систему или не соответствуют требованиям для включения в систему Android. Приложение может добавить такие ЦС в доверенные, указав несколько источников сертификатов для конфигурации.

res/xml/network_security_config.xml:

<?xml version="1.0" encoding="utf-8"?>
<network-security-config>
    <base-config>
        <trust-anchors>
            <certificates src="@raw/extracas"/>
            <certificates src="system"/>
        </trust-anchors>
    </base-config>
</network-security-config>

Настройка конфигурации ЦС для отладки

При отладке приложения, которое использует для подключения протокол HTTPS, вам может потребоваться подключение к локальному серверу разработки, у которого нет сертификата SSL для рабочего сервера. Чтобы выполнить отладку без изменения кода приложения, вы можете указать ЦС для отладки, которые входят в число доверенных, только если для параметра android:debuggable установлено значение true с использованием debug-overrides. Обычно среды разработки и инструменты сборки устанавливают этот флаг автоматически для всех сборок, кроме выпускаемой версии.

Такая схема работы более безопасна, чем использование обычного условного кода, поскольку в качестве меры предосторожности магазины приложений не принимают приложения, помеченные как доступные для отладки.

res/xml/network_security_config.xml:

<?xml version="1.0" encoding="utf-8"?>
<network-security-config>
    <debug-overrides>
        <trust-anchors>
            <certificates src="@raw/debug_cas"/>
        </trust-anchors>
    </debug-overrides>
</network-security-config>

Отказ от передачи данных открытым текстом

Приложения, которым нужно подключаться к узлам только через защищенные соединения, могут отказаться от поддержки передачи данных открытым текстом (с использованием нешифрованного протокола HTTP вместо HTTPS) на эти узлы. Эта возможность помогает предотвратить случайные неполадки в приложениях, связанные с изменениями URL-адресов, предоставленных внешними источниками, например, инфраструктурными серверами. Дополнительную информацию можно найти в описании метода NetworkSecurityPolicy.isCleartextTrafficPermitted().

Например, приложение может потребовать обязательное использование протокола HTTPS для всех соединений с secure.example.com, чтобы защитить важный трафик от небезопасных сетей.

res/xml/network_security_config.xml:

<?xml version="1.0" encoding="utf-8"?>
<network-security-config>
    <domain-config usesCleartextTraffic="false">
        <domain includeSubdomains="true">secure.example.com</domain>
    </domain-config>
</network-security-config>

Прикрепление сертификатов

Обычно приложение доверяет всем предустановленным ЦС. Если любой из этих ЦС выпустит поддельный сертификат, приложение подвергается риску атаки с перехватом данных. Некоторым приложениям требуется ограничить принимаемый набор сертификатов либо ограничением списка доверенных ЦС, либо прикреплением сертификатов.

Прикрепление сертификатов осуществляется путем предоставления набора сертификатов через хэш открытого ключа (SubjectPublicKeyInfo сертификата X.509). В этом случае цепочка сертификатов будет действительна, только если она содержит хотя бы один прикрепленный открытый ключ.

При использовании прикрепления сертификатов всегда необходимо добавлять резервный ключ, чтобы работа приложения не пострадала при необходимости перехода на новые ключи или смены ЦС (при прикреплении сертификата ЦС или посредника этого ЦС). Без резервного ключа для восстановления возможности подключения приложения потребуется срочно выпускать его обновление.

Кроме того, существует возможность установить срок прикрепления, по истечении которого прикрепление не выполняется. Это помогает предотвратить проблемы с подключением приложений, которые не были обновлены. Однако установка срока действия прикреплений позволяет обойти их ограничения.

res/xml/network_security_config.xml:

<?xml version="1.0" encoding="utf-8"?>
<network-security-config>
    <domain-config>
        <domain includeSubdomains="true">example.com</domain>
        <pin-set expiration="2018-01-01">
            <pin digest="SHA-256">7HIpactkIAq2Y49orFOOQKurWxmmSFZhBCoQYcRhJ3Y=</pin>
            <!-- backup pin -->
            <pin digest="SHA-256">fwza0LRMXouZHRC8Ei+4PyuldPDcf3UKgO/04cDM1oE=</pin>
    </domain-config>
</network-security-config>

Поведение при наследовании конфигурации

Значения, не установленные в определенной конфигурации, наследуются. Такое поведение позволяет создавать более сложные конфигурации, сохраняя при этом файл конфигурации в читаемом виде.

Если в определенной записи не установлено значение, используется значение из следующей более общей записи. Значения, не установленные в domain-config, берутся из родительского элемента domain-config в многоуровневых конфигурациях или из элемента base-config в простых конфигурациях. Для значений, не установленных в base-config, используются значения по умолчанию для платформы.

Рассмотрим пример, где все соединения с доменами нижнего уровня example.com должны использовать пользовательский набор ЦС. Кроме того, для этих доменов разрешена передача данных открытым текстом, кроме случаев подключения к secure.example.com. При вложении конфигурации secure.example.com в конфигурацию example.com не требуется дублирование trust-anchors.

res/xml/network_security_config.xml:

<?xml version="1.0" encoding="utf-8"?>
<network-security-config>
    <domain-config>
        <domain includeSubdomains="true">example.com</domain>
        <trust-anchors>
            <certificates src="@raw/my_ca"/>
        </trust-anchors>
        <domain-config cleartextTrafficPermitted="false">
            <domain includeSubdomains="true">secure.example.com</domain>
        </domain-config>
    </domain-config>
</network-security-config>

Формат файла конфигурации

Функция конфигурации сетевой безопасности использует формат файлов XML. Общая структура файла показана в следующем примере кода:

<?xml version="1.0" encoding="utf-8"?>
<network-security-config>
    <base-config>
        <trust-anchors>
            <certificates src="..."/>
            ...
        </trust-anchors>
    </base-config>

    <domain-config>
        <domain>android.com</domain>
        ...
        <trust-anchors>
            <certificates src="..."/>
            ...
        </trust-anchors>
        <pin-set>
            <pin digest="...">...</pin>
            ...
        </pin-set>
    </domain-config>
    ...
    <debug-overrides>
        <trust-anchors>
            <certificates src="..."/>
            ...
        </trust-anchors>
    </debug-overrides>
</network-security-config>

В следующих разделах содержится описание синтаксиса и других деталей формата файла.

<network-security-config>

Может содержать:
0 или 1 <base-config>
Любое количество <domain-config>
0 или 1 <debug-overrides>

<base-config>

Синтаксис:
<base-config usesCleartextTraffic=["true" | "false"]>
    ...
</base-config>
Может содержать:
<trust-anchors>
Описание:
Конфигурация по умолчанию, используемая всеми подключениями к узлам, не входящим в domain-config.

Если значения не установлены, используются значения по умолчанию для платформы. Конфигурация по умолчанию для приложений, использующих API уровня 24 или выше:

<base-config usesCleartextTraffic="true">
    <trust-anchors>
        <certificates src="system" />
    </trust-anchors>
</base-config>
Конфигурация по умолчанию для приложений, использующих API уровня 23 или ниже:
<base-config usesCleartextTraffic="true">
    <trust-anchors>
        <certificates src="system" />
        <certificates src="user" />
    </trust-anchors>
</base-config>

<domain-config>

Синтаксис:
<domain-config usesCleartextTraffic=["true" | "false"]>
    ...
</domain-config>
Может содержать:
1 или более <domain>
0 или 1 <trust-anchors>
0 или 1 <pin-set>
Любое количество вложенных <domain-config>
Описание
Конфигурация, используемая для подключения к конкретным узлам, определенными элементами domain.

Если для узла назначения существует несколько элементов domain-config, используется правило для наиболее конкретного (самого длинного) совпадающего домена.

<domain>

Синтаксис:
<domain includeSubdomains=["true" | "false"]>example.com</domain>
Атрибуты:
includeSubdomains
Если значение равно "true", то правило домена соответствует указанному домену и всем доменам его нижних уровней. В противном случае правило действует только для полных совпадений.
Описание:

<debug-overrides>

Синтаксис:
<debug-overrides>
    ...
</debug-overrides>
Может содержать:
0 или 1 <trust-anchors>
Описание:
Переопределения применяются, когда параметр android:debuggable имеет значение "true", что обычно верно для промежуточных сборок, создаваемых средами разработки и инструментами сборки. Якоря доверия, указанные в debug-overrides, добавляются ко всем другим конфигурациям, и прикрепление сертификатов не выполняется, если цепочка сертификатов сервера использует один из этих якорей доверия, предназначенных только для отладки. Если параметр android:debuggable имеет значение "false", этот раздел полностью игнорируется.

<trust-anchors>

Синтаксис:
<trust-anchors>
...
</trust-anchors>
Может содержать:
Любое количество <certificates>
Описание:
Набор якорей доверия для защищенных соединений.

<certificates>

Синтаксис:
<certificates src=["system" | "user" | "raw resource"]
              overridePins=["true" | "false"] />
Описание:
Набор сертификатов X.509 для элементов trust-anchors.
Атрибуты:
src
Источник сертификатов ЦС может представлять собой
  • идентификатор исходного ресурса, указывающий на файл с сертификатами X.509. Сертификаты должны быть закодированы в формате DER или PEM. При использовании сертификатов PEM файл не должен содержать ничего, кроме данных PEM, например, комментариев.
  • "system" для предустановленных в системе сертификатов ЦС
  • "user" для добавленных пользователем сертификатов ЦС
overridePins

Указывает, пропускается ли прикрепление сертификатов для ЦС из этого источника. Если значение равно "true", то прикрепление сертификатов не выполняется для цепочек сертификатов, проходящих через один из ЦС этого источника. Это применяется для отладки ЦС или для разрешения пользователю перехватывать защищенный трафик вашего приложения.

По умолчанию используется значение "false", но если указан элемент debug-overrides, то по умолчанию используется значение "true".

<pin-set>

Синтаксис:
<pin-set expiration="date">
...
</pin-set>
Может содержать:
Любое количество <pin>
Описание:
Набор прикрепленных открытых ключей. Чтобы защищенное соединение было доверенным, один из открытых ключей в цепочке доверия должен входить в набор прикрепленных ключей. Формат ключей указан в <pin>.
Атрибуты:
expiration
Дата в формате yyyy-MM-dd, начиная с которой истекает срок прикрепления и оно отключается. Если этот атрибут не установлен, срок прикрепления не истекает.

Истечение срока прикрепления помогает предотвратить проблемы с подключением в приложениях, которые не получают обновления набора прикрепленных элементов, например в связи с тем, что пользователь отключил обновления приложений.

<pin>

Синтаксис:
<pin digest=["SHA-256"]>base64 encoded digest of X.509
    SubjectPublicKeyInfo (SPKI)</pin>
Атрибуты:
digest
Алгоритм хэширования, используемый для создания прикреплений. В настоящее время поддерживается только алгоритм "SHA-256".