ویژگی Network Security Configuration به شما امکان می دهد تنظیمات امنیتی شبکه برنامه خود را در یک فایل پیکربندی ایمن و شفاف بدون تغییر کد برنامه سفارشی کنید. این تنظیمات را می توان برای دامنه های خاص و برای یک برنامه خاص پیکربندی کرد. قابلیت های کلیدی این ویژگی عبارتند از:
- لنگرهای اعتماد سفارشی: سفارشی کنید که کدام مقامات گواهی (CA) برای اتصالات امن برنامه مورد اعتماد هستند. برای مثال، اعتماد به گواهیهای خاص خودامضا یا محدود کردن مجموعهای از CA عمومی که برنامه به آنها اعتماد دارد.
- لغو فقط اشکال زدایی: اتصالات ایمن را در یک برنامه بدون خطر اضافی برای پایه نصب شده اشکال زدایی کنید.
- انصراف از ترافیک Cleartext: از برنامه ها در برابر استفاده تصادفی از ترافیک متن شفاف (رمزگذاری نشده) محافظت کنید.
- انتخاب شفافیت گواهی: اتصالات امن برنامه را برای استفاده از گواهیهای ثبتشده قابل اثبات محدود کنید.
- پین کردن گواهی: اتصال ایمن برنامه را به گواهیهای خاصی محدود کنید.
یک فایل پیکربندی امنیت شبکه اضافه کنید
ویژگی پیکربندی امنیت شبکه از یک فایل XML استفاده می کند که در آن تنظیمات برنامه خود را مشخص می کنید. برای اشاره به این فایل باید یک ورودی در مانیفست برنامه خود وارد کنید. گزیده کد زیر از یک مانیفست نحوه ایجاد این ورودی را نشان می دهد:
<?xml version="1.0" encoding="utf-8"?> <manifest ... > <application android:networkSecurityConfig="@xml/network_security_config" ... > ... </application> </manifest>
CA های مورد اعتماد را سفارشی کنید
ممکن است بخواهید برنامه شما به جای پیشفرض پلتفرم، به مجموعهای از CA سفارشی اعتماد کند. شایع ترین دلایل این امر عبارتند از:
- اتصال به یک میزبان با یک CA سفارشی، مانند یک CA که خودامضا شده یا در داخل یک شرکت صادر شده است.
- محدود کردن مجموعه CA به جای هر CA از پیش نصب شده، فقط به CAهایی که به آنها اعتماد دارید.
- اعتماد به CA های اضافی که در سیستم گنجانده نشده اند.
به طور پیشفرض، اتصالات امن (با استفاده از پروتکلهایی مانند TLS و HTTPS) از همه برنامهها به CAهای از پیش نصبشده سیستم اعتماد دارند و برنامههایی که Android 6.0 (سطح API 23) و پایینتر را هدف قرار میدهند نیز بهطور پیشفرض به فروشگاه CA اضافهشده توسط کاربر اعتماد دارند. می توانید اتصالات برنامه خود را با استفاده base-config
(برای سفارشی سازی در سطح برنامه) یا domain-config
(برای سفارشی سازی هر دامنه) سفارشی کنید.
یک CA سفارشی را پیکربندی کنید
ممکن است بخواهید به میزبانی متصل شوید که از گواهینامه SSL با امضای خود استفاده می کند یا به میزبانی که گواهی SSL آن توسط یک CA غیرعمومی مورد اعتماد شما صادر شده است، مانند CA داخلی شرکت شما. گزیده کد زیر نحوه پیکربندی برنامه خود را برای یک CA سفارشی در res/xml/network_security_config.xml
نشان می دهد:
<?xml version="1.0" encoding="utf-8"?> <network-security-config> <domain-config> <domain includeSubdomains="true">example.com</domain> <trust-anchors> <certificates src="@raw/my_ca"/> </trust-anchors> </domain-config> </network-security-config>
گواهی CA خودامضا یا غیرعمومی را در قالب PEM یا DER به res/raw/my_ca
اضافه کنید.
مجموعه CA های مورد اعتماد را محدود کنید
اگر نمیخواهید برنامه شما به همه CAهای مورد اعتماد سیستم اعتماد کند، میتوانید در عوض مجموعهای از CAهای مورد اعتماد را مشخص کنید. این برنامه را در برابر گواهی های تقلبی صادر شده توسط هر یک از CA های دیگر محافظت می کند.
پیکربندی برای محدود کردن مجموعه CAهای قابل اعتماد شبیه به اعتماد به یک CA سفارشی برای یک دامنه خاص است با این تفاوت که چندین CA در منبع ارائه شده است. گزیده کد زیر نحوه محدود کردن مجموعه CA های قابل اعتماد برنامه خود را در res/xml/network_security_config.xml
نشان می دهد:
<?xml version="1.0" encoding="utf-8"?> <network-security-config> <domain-config> <domain includeSubdomains="true">secure.example.com</domain> <domain includeSubdomains="true">cdn.example.com</domain> <trust-anchors> <certificates src="@raw/trusted_roots"/> </trust-anchors> </domain-config> </network-security-config>
CAهای مورد اعتماد را در قالب PEM یا DER به res/raw/trusted_roots
اضافه کنید. توجه داشته باشید که اگر از فرمت PEM استفاده می کنید، فایل باید فقط حاوی داده های PEM و بدون متن اضافی باشد. شما همچنین می توانید چندین عنصر <certificates>
را به جای یک عنصر ارائه دهید.
به CA های اضافی اعتماد کنید
ممکن است بخواهید برنامه شما به CA های دیگری که مورد اعتماد سیستم نیستند اعتماد کند، مثلاً اگر سیستم هنوز شامل CA نیست یا CA شرایط لازم برای گنجاندن در سیستم Android را ندارد. می توانید چندین منبع گواهی را برای یک پیکربندی در res/xml/network_security_config.xml
با استفاده از کدی مانند گزیده زیر مشخص کنید.
<?xml version="1.0" encoding="utf-8"?> <network-security-config> <base-config> <trust-anchors> <certificates src="@raw/extracas"/> <certificates src="system"/> </trust-anchors> </base-config> </network-security-config>
CA ها را برای اشکال زدایی پیکربندی کنید
هنگام اشکال زدایی برنامه ای که از طریق HTTPS متصل می شود، ممکن است بخواهید به یک سرور توسعه محلی متصل شوید که گواهی SSL برای سرور تولید شما ندارد. برای پشتیبانی از این بدون هیچ تغییری در کد برنامهتان، میتوانید CAهای فقط اشکالزدایی را مشخص کنید، که فقط زمانی قابل اعتماد هستند که android:debuggable true
است، با استفاده از debug-overrides
. به طور معمول، IDE ها و ابزارهای ساخت، این پرچم را به طور خودکار برای ساخت های غیر انتشار تنظیم می کنند.
این از کد مشروط معمولی ایمن تر است زیرا به عنوان یک اقدام احتیاطی امنیتی، فروشگاه های برنامه برنامه هایی را که قابل اشکال زدایی علامت گذاری شده اند نمی پذیرند.
گزیده زیر نحوه تعیین CA های فقط اشکال زدایی را در res/xml/network_security_config.xml
نشان می دهد:
<?xml version="1.0" encoding="utf-8"?> <network-security-config> <debug-overrides> <trust-anchors> <certificates src="@raw/debug_cas"/> </trust-anchors> </debug-overrides> </network-security-config>
برای شفافیت گواهی شرکت کنید
شفافیت گواهی (CT, RFC 9162 ) یک استاندارد اینترنتی است که برای افزایش امنیت گواهیهای دیجیتال طراحی شده است. این سازمانها را ملزم میکند که تمام گواهیهای صادر شده را به یک گزارش عمومی که آنها را ثبت میکند، ارسال کنند و شفافیت و پاسخگویی را در فرآیند صدور گواهی افزایش دهد.
با حفظ یک رکورد قابل تأیید از همه گواهیها، CT جعل گواهیها یا صدور اشتباه توسط CA را برای عوامل مخرب بسیار دشوارتر میکند. این به محافظت از کاربران در برابر حملات انسان در میان و سایر تهدیدات امنیتی کمک می کند. برای اطلاعات بیشتر، به توضیح در transparency.dev مراجعه کنید.
بهطور پیشفرض، گواهیها صرفنظر از اینکه در یک گزارش CT وارد شده باشند، پذیرفته میشوند. برای اطمینان از اینکه برنامه شما فقط به مقاصدی با گواهیهای ثبتشده در گزارش CT متصل میشود، میتوانید این ویژگی را به صورت سراسری یا بر اساس دامنه انتخاب کنید .
از ترافیک متن شفاف انصراف دهید
توجه: راهنمایی در این بخش فقط برای برنامههایی اعمال میشود که Android 8.1 (سطح API 27) یا پایینتر را هدف قرار میدهند. با شروع اندروید 9 (سطح API 28)، پشتیبانی متن شفاف به طور پیشفرض غیرفعال است.
اگر قصد دارید برنامه شما فقط با استفاده از اتصالات امن به مقصدها متصل شود، میتوانید از پشتیبانی از متن شفاف (با استفاده از پروتکل HTTP رمزگذاری نشده به جای HTTPS) برای آن مقصدها خودداری کنید. این گزینه به جلوگیری از رگرسیون تصادفی در برنامه ها به دلیل تغییر در URL های ارائه شده توسط منابع خارجی مانند سرورهای باطن کمک می کند. برای جزئیات بیشتر به NetworkSecurityPolicy.isCleartextTrafficPermitted()
مراجعه کنید.
برای مثال، ممکن است بخواهید برنامه شما اطمینان حاصل کند که اتصالات به secure.example.com
همیشه از طریق HTTPS انجام می شود تا از ترافیک حساس در برابر شبکه های متخاصم محافظت کند.
گزیده زیر نحوه انصراف از متن واضح در res/xml/network_security_config.xml
را نشان می دهد:
<?xml version="1.0" encoding="utf-8"?> <network-security-config> <domain-config cleartextTrafficPermitted="false"> <domain includeSubdomains="true">secure.example.com</domain> </domain-config> </network-security-config>
گواهینامه ها را پین کنید
به طور معمول، یک برنامه به همه CA های از پیش نصب شده اعتماد دارد. اگر هر یک از این CA ها گواهی تقلبی صادر کنند، برنامه در معرض خطر یک مهاجم در مسیر قرار می گیرد. برخی از برنامهها انتخاب میکنند که مجموعه گواهیهایی را که میپذیرند با محدود کردن مجموعهای از CA مورد اعتمادشان یا با پین کردن گواهی محدود کنند.
پین کردن گواهی با ارائه مجموعه ای از گواهی ها توسط هش کلید عمومی ( SubjectPublicKeyInfo
از گواهی X.509) انجام می شود. یک زنجیره گواهی تنها در صورتی معتبر است که زنجیره گواهی حداقل یکی از کلیدهای عمومی پین شده را داشته باشد.
توجه داشته باشید که هنگام استفاده از پین کردن گواهی، همیشه باید یک کلید پشتیبان اضافه کنید تا اگر مجبور شدید به کلیدهای جدید بروید یا CA را تغییر دهید (هنگام پین کردن به گواهی CA یا واسطه آن CA)، اتصال برنامه شما تحت تأثیر قرار نگیرد. در غیر این صورت، برای بازیابی اتصال، باید یک بهروزرسانی برای برنامه ارسال کنید.
علاوه بر این، امکان تعیین زمان انقضا برای پین ها وجود دارد که پس از آن پین کردن انجام نمی شود. این به جلوگیری از مشکلات اتصال در برنامه هایی که به روز نشده اند کمک می کند. با این حال، تنظیم زمان انقضا روی پینها ممکن است مهاجمان را قادر سازد گواهیهای پینشده شما را دور بزنند.
گزیده زیر نحوه پین کردن گواهینامه ها را در res/xml/network_security_config.xml
نشان می دهد:
<?xml version="1.0" encoding="utf-8"?> <network-security-config> <domain-config> <domain includeSubdomains="true">example.com</domain> <pin-set expiration="2018-01-01"> <pin digest="SHA-256">7HIpactkIAq2Y49orFOOQKurWxmmSFZhBCoQYcRhJ3Y=</pin> <!-- backup pin --> <pin digest="SHA-256">fwza0LRMXouZHRC8Ei+4PyuldPDcf3UKgO/04cDM1oE=</pin> </pin-set> </domain-config> </network-security-config>
رفتار ارث بری پیکربندی
مقادیری که در یک پیکربندی خاص تنظیم نشده اند به ارث برده می شوند. این رفتار به پیکربندی های پیچیده تری اجازه می دهد و در عین حال فایل پیکربندی را قابل خواندن نگه می دارد.
به عنوان مثال، مقادیری که در یک domain-config
تنظیم نشدهاند، در صورت تودرتو، از والد domain-config
، یا از base-config
، اگر نه، گرفته میشوند. مقادیری که در base-config
تنظیم نشده اند از مقادیر پیش فرض پلت فرم استفاده می کنند.
به عنوان مثال، موردی را در نظر بگیرید که در آن همه اتصالات به زیر دامنه های example.com
باید از یک مجموعه سفارشی از CA استفاده کنند. علاوه بر این، ترافیک متن شفاف به این دامنهها مجاز است ، مگر زمانی که به secure.example.com
متصل میشوید. با قرار دادن پیکربندی secure.example.com
در پیکربندی برای example.com
، نیازی به کپی کردن trust-anchors
نیست.
گزیده زیر نشان می دهد که چگونه این تودرتو در res/xml/network_security_config.xml
به نظر می رسد:
<?xml version="1.0" encoding="utf-8"?> <network-security-config> <domain-config> <domain includeSubdomains="true">example.com</domain> <trust-anchors> <certificates src="@raw/my_ca"/> </trust-anchors> <domain-config cleartextTrafficPermitted="false"> <domain includeSubdomains="true">secure.example.com</domain> </domain-config> </domain-config> </network-security-config>
فرمت فایل پیکربندی
ویژگی پیکربندی امنیت شبکه از فرمت فایل XML استفاده می کند. ساختار کلی فایل در نمونه کد زیر نشان داده شده است:
<?xml version="1.0" encoding="utf-8"?> <network-security-config> <base-config> <trust-anchors> <certificates src="..."/> ... </trust-anchors> </base-config> <domain-config> <domain>android.com</domain> ... <trust-anchors> <certificates src="..."/> ... </trust-anchors> <pin-set> <pin digest="...">...</pin> ... </pin-set> </domain-config> ... <debug-overrides> <trust-anchors> <certificates src="..."/> ... </trust-anchors> </debug-overrides> </network-security-config>
بخش های زیر نحو و سایر جزئیات فرمت فایل را توضیح می دهند.
<network-security-config>
- می تواند شامل:
- 0 یا 1 از
<base-config>
هر تعداد<domain-config>
0 یا 1 از<debug-overrides>
<base-config>
- نحو:
<base-config cleartextTrafficPermitted=["true" | "false"]> ... </base-config>
- می تواند شامل:
-
<trust-anchors>
<certificateTransparency>
- توضیحات:
- پیکربندی پیشفرض مورد استفاده همه اتصالاتی که مقصد آنها توسط یک
domain-config
پوشش داده نمیشود.هر مقداری که تنظیم نشده باشد از مقادیر پیش فرض پلتفرم استفاده می کند.
پیکربندی پیشفرض برای برنامههایی که اندروید 9 (سطح API 28) و بالاتر را هدف قرار میدهند به شرح زیر است:
<base-config cleartextTrafficPermitted="false"> <trust-anchors> <certificates src="system" /> </trust-anchors> </base-config>
پیکربندی پیشفرض برای برنامههایی که Android 7.0 (سطح API 24) تا Android 8.1 (سطح API 27) را هدف قرار میدهند به شرح زیر است:
<base-config cleartextTrafficPermitted="true"> <trust-anchors> <certificates src="system" /> </trust-anchors> </base-config>
پیکربندی پیشفرض برای برنامههایی که اندروید 6.0 (سطح API 23) و پایینتر را هدف قرار میدهند به شرح زیر است:
<base-config cleartextTrafficPermitted="true"> <trust-anchors> <certificates src="system" /> <certificates src="user" /> </trust-anchors> </base-config>
<domain-config>
- نحو:
<domain-config cleartextTrafficPermitted=["true" | "false"]> ... </domain-config>
- می تواند شامل:
- 1 یا بیشتر
<domain>
0 یا 1<certificateTransparency>
0 یا 1<trust-anchors>
0 یا 1<pin-set>
هر تعداد<domain-config>
تودرتو - توضیحات:
- پیکربندی مورد استفاده برای اتصال به مقاصد خاص، همانطور که توسط عناصر
domain
تعریف شده است.توجه داشته باشید که اگر چندین عنصر
domain-config
یک مقصد را پوشش دهند، از پیکربندی با خاص ترین (طولانی ترین) قانون دامنه منطبق استفاده می شود.
<دامنه>
- نحو:
<domain includeSubdomains=["true" | "false"]>example.com</domain>
- صفات:
-
includeSubdomains
- اگر
"true"
باشد، این قانون دامنه با دامنه و همه زیر دامنه ها، از جمله زیر دامنه های زیر دامنه ها مطابقت دارد. در غیر این صورت، این قانون فقط برای تطابق دقیق اعمال می شود.
-
<certificateTransparency>
- نحو:
<certificateTransparency enabled=["true" | "false"]/>
- توضیحات:
- اگر
true
، برنامه از گزارشهای شفافیت گواهی برای تأیید اعتبار گواهیها استفاده میکند. هنگامی که یک برنامه از گواهی خود (یا فروشگاه کاربر) استفاده می کند، احتمالاً گواهی عمومی نیست و بنابراین با استفاده از شفافیت گواهی قابل تأیید نیست. به طور پیش فرض، تأیید برای این موارد غیرفعال است. هنوز هم میتوان با استفاده از<certificateTransparency enabled="true"/>
در پیکربندی دامنه، تأیید را اجباری کرد. برای هر<domain-config>
، ارزیابی به ترتیب زیر است:- اگر
certificateTransparency
فعال است، تأیید را فعال کنید. - اگر هر یک از
<trust-anchors>
"user"
یا درون خطی است (یعنی"@raw/cert.pem"
)، تأیید را غیرفعال کنید. - در غیر این صورت، به پیکربندی ارثی تکیه کنید.
- اگر
<debug-overrides>
- نحو:
<debug-overrides> ... </debug-overrides>
- می تواند شامل:
- 0 یا 1
<trust-anchors>
- توضیحات:
- لغو زمانی که android:debuggable
"true"
باشد اعمال میشود، که معمولاً برای ساختهای غیرانتشاری تولید شده توسط IDEها و ابزارهای ساخت، صادق است. لنگرهای اعتماد مشخص شده درdebug-overrides
به همه پیکربندیهای دیگر اضافه میشوند و زمانی که زنجیره گواهی سرور از یکی از این لنگرهای اعتماد فقط اشکالزدایی استفاده میکند، پین کردن گواهی انجام نمیشود. اگر android:debuggable"false"
باشد، این بخش کاملا نادیده گرفته می شود.
<trust-anchors>
- نحو:
<trust-anchors> ... </trust-anchors>
- می تواند شامل:
- هر تعداد
<certificates>
- توضیحات:
- مجموعه ای از لنگرهای اعتماد برای اتصالات ایمن.
<گواهی نامه ها>
- نحو:
<certificates src=["system" | "user" | "raw resource"] overridePins=["true" | "false"] />
- توضیحات:
- مجموعه ای از گواهینامه های X.509 برای عناصر
trust-anchors
. - صفات:
-
src
- منبع گواهینامه های CA. هر گواهی می تواند یکی از موارد زیر باشد:
- یک شناسه منبع خام که به فایلی حاوی گواهینامه های X.509 اشاره می کند. گواهینامه ها باید با فرمت DER یا PEM کدگذاری شوند. در مورد گواهیهای PEM، فایل نباید حاوی دادههای غیر PEM اضافی مانند نظرات باشد.
-
"system"
برای گواهینامه های CA سیستم از پیش نصب شده -
"user"
برای گواهی های CA اضافه شده توسط کاربر
-
overridePins
مشخص می کند که CAهای این منبع از پین کردن گواهی عبور کنند. اگر
"true"
باشد، پین کردن در زنجیره های گواهی که توسط یکی از CA از این منبع امضا شده است انجام نمی شود. این میتواند برای اشکالزدایی CA یا برای آزمایش حملات انسان در وسط به ترافیک امن برنامه شما مفید باشد.پیشفرض
"false"
است، مگر اینکه در عنصرdebug-overrides
مشخص شده باشد، در این صورت پیشفرض"true"
است.
-
<pin-set>
- نحو:
<pin-set expiration="date"> ... </pin-set>
- می تواند شامل:
- هر تعداد
<pin>
- توضیحات:
- مجموعه ای از پین های کلید عمومی برای اینکه یک اتصال امن قابل اعتماد باشد، یکی از کلیدهای عمومی در زنجیره اعتماد باید در مجموعه پین ها باشد. برای فرمت پین ها به
<pin>
مراجعه کنید. - صفات:
-
expiration
- تاریخ، در قالب
yyyy-MM-dd
که در آن پین ها منقضی می شوند، بنابراین پین کردن غیرفعال می شود. اگر ویژگی تنظیم نشده باشد، پین ها منقضی نمی شوند.انقضا به جلوگیری از مشکلات اتصال در برنامههایی که بهروزرسانیهای مجموعه پین خود را دریافت نمیکنند، مانند زمانی که کاربر بهروزرسانیهای برنامه را غیرفعال میکند، کمک میکند.
-
<پین>
- نحو:
<pin digest=["SHA-256"]>base64 encoded digest of X.509 SubjectPublicKeyInfo (SPKI)</pin>
- صفات:
-
digest
- الگوریتم هضم مورد استفاده برای تولید پین. در حال حاضر، فقط
"SHA-256"
پشتیبانی می شود.
-
منابع اضافی
برای اطلاعات بیشتر در مورد پیکربندی امنیت شبکه، به منابع زیر مراجعه کنید.