使用未经验证的SSL证书通过HTTPS下载文件

Question

我的Java程序使用GitHub的原始地址访问版本文件以获取最新版本。这个地址的格式为https://raw.github.com/user/repository/branch/version_file

在测试阶段，我用这个用下面的代码没有问题：

currentVersion = new Version(plugin.getDescription().getVersion()); 

URL url = new URL("https://raw.github.com/zonedabone/CommandSigns/master/VERSION"); 
URLConnection connection = url.openConnection(); 
BufferedReader in = new BufferedReader(new InputStreamReader(connection.getInputStream())); 
newestVersion = new Version(in.readLine()); 

if (currentVersion.compareTo(newestVersion) < 0) 
    newAvailable = true; 

然而，一些用户抱怨以下错误：

sun.security.validator.ValidatorException: 
    PKIX path building failed: 
    sun.security.provider.certpath.SunCertPathBuilderException: 
     unable to find valid certification path to requested target 

Java正在抱怨它无法验证SSL证书。 GitHub的证书由DigiCert验证，但显然一些Java版本不会识别这一点。

我读过有两种方法可以解决这个问题：将证书添加到TrustStore并完全禁用验证。

答案建议在计算器上或者使用的允许，所有信任库，这将是考虑到它是不是一个“测试环境”，或者如果他们展示如何添加证书，他们通常的范围内一个非常糟糕的主意链接到一个破碎的网页。

有人可以提供新的信息吗？

Answer 1

一是理论......正如JSSE Reference Guide说：

IMPORTANT NOTE: The JDK ships with a limited number of trusted root certificates in the /lib/security/cacerts file. As documented in keytool, it is your responsibility to maintain (that is, add/remove) the certificates contained in this file if you use this file as a truststore.

Depending on the certificate configuration of the servers you contact, you may need to add additional root certificate(s). Obtain the needed specific root certificate(s) from the appropriate vendor.

用户应保持CA的列表证书本身。不幸的是，一些人不知道该怎么做。他们可以使用另一个JRE的cacerts文件（更新）到他们自己的安装中。

您可以使用信任管理器来信任任何证书并专门用于该连接，但这不是一个好主意，因为它打开了与潜在的MITM攻击的连接。这个不安全的解决方案有足够的代码示例。

如果您要信任特定证书，最佳解决方案是使用特定信任库正确加载它，如this answer中所述。如果要将其与应用程序捆绑在一起，您甚至可以从类加载器的InputStream中加载该信任库。

或者，如果可能，您可以直接使用操作系统信任库。在Windows上，您可以按照this article中所述加载Windows-ROOT密钥库。在OSX上，您可以加载KeychainStore。

Answer 2

您可以实现一个HttpsURLConnection的以 “所有” -TrustManager

像http://bitsandcodes.blogspot.de/2010/08/create-trust-manager-that-trust-all-ssl.html