是否可以在应用程序代码级验证具体的TLS
或SSL
版本?是否可以限制应用程序仅使用特定的TLS
或SSL
版本?是否可以限制移动应用程序(android/iOS)应用程序仅使用特定的TLS版本?
考虑一个场景,网络服务器支持TLS
1.0
,1.1
和1.2
。移动应用程序(不论是android还是iOS)都以更新的API/SDK
构建,支持TLS
1.2
。理论上,在任何协商例外的情况下,TLS
上下文将回退到较低的上下文。那么,是否有任何可能的方法在应用程序代码中进行验证,只应使用TLS
1.2
并且不应接受较低版本。
我在这里看到了一些讨论SSL上下文可以在android中验证。 Android TLS connection and self signed certificate。但是如果在服务器端发生回退,操作系统是否会覆盖这个?
是的,您可以将您的SSL/TLS客户端配置为仅与TLS 1.2或更高版本连接。具体细节取决于您使用的客户端。 – laalto