OkHttp完全解析（五）HTTPS

OkHttp试图平衡连个相互竞争的问题：

   尽可能多的主机连接： 包括运行最新版boringssl的高级主机和运行老版OpenSSL的陈旧主机。

   连接的安全性： 通过证书进行远程web服务器验证和通过强加密保证数据交换的私密性。

当与一个HTTPS服务器进行协商时， OkHttp需要知道应当提供哪个版本的TLS和加密路线。一个想要使连接最大化的客户端可能包含陈旧的TLS版本，以及设计弱化的加密套件。一个想要使安全性更高的严格客户端则被限制使用最新版的TLS和最强的加密套件。

   # MODERN_TLS 是一种连接到现代HTTPS服务器的安全配置。

   # COMPATIBLE_TLS 是一种连接到安全但是不实时的HTTPS服务的安全配置。

   # CLEARTEXT 是一种使用在http://URL中的安全配置。

默认情况下，OkHttp会尝试一个MODERN_TLS连接，如果不可行，则转换到COMPATIBLE_TLS连接。 在特定连接类型中的TLS版本和加密套件会相互转换。例如，在OkHttp2.2中，因为POODLE攻击，OkHttp放弃了对SSL3.0的支持， 在OkHttp2.3中，放弃了对RC4的支持。所以，跟你桌面浏览器一样而言，保持最新版的OkHttp是确保安全的最佳方式。

也可以通过一个自定义的TLS版本集合和加密套件，创建自定义的连接设置。例如，这个配置被限制使用三个相对安全性较高的加密套件。缺点是只支持Android 5.0+和同样的web服务器。

6.1 证书锁定

默认请情况下，OkHttp信任主平台的证书授权。这种策略可以使连接最大化，但是受患于授权机构的攻击，比如 2011 DigiNotar attack。 同时也假设你的HTTPS服务器被同一个授权机构签约。

可以使用CertificatePinner限制哪个认证中心被信任。证书锁定可以增加安全性，但是限制了你的服务器团队更新他们TLS证书的能力。在没有服务器TLS 管理员允许的情况下，不要使用证书锁定。

6.2 自定义信任的证书

   完整的代码实例展示了如何通过你自己的设置替换主平台的证书授权。跟上面一样，在没有服务器TLS管理员守护的情况下，不要使用自定义证书。