AppUpdate库中处理SSL证书验证问题的解决方案

2025-07-01 12:57:54作者：邵娇湘

在Android应用开发中，使用AppUpdate库进行应用内更新时，开发者可能会遇到SSL证书验证失败的问题。本文将深入分析这一问题的原因，并提供多种解决方案。

问题现象分析

当使用AppUpdate库进行应用更新时，如果下载链接使用HTTPS协议且证书验证失败，会出现类似以下的错误信息：

javax.net.ssl.SSLPeerUnverifiedException: Hostname xxxxxx not verified
certificate: sha1/67uxxxxxxxxxxx
DN: CN=*.xxx.com,O=xxxx公司,L=Wuxi,ST=Jiangsu,C=CN
subjectAltNames: [*.xxx.com, xxx.com]

这种错误通常发生在以下几种情况：

使用了自签名证书
证书域名与应用实际访问的域名不匹配
证书已过期
设备时间设置不正确导致证书验证失败

解决方案

方案一：自定义BaseHttpDownloadManager

AppUpdate库提供了BaseHttpDownloadManager抽象类，允许开发者自定义下载逻辑。这是最推荐的解决方案，因为它提供了最大的灵活性。

实现步骤：

创建自定义下载管理器类继承BaseHttpDownloadManager
在download方法中实现自己的下载逻辑
使用OkHttp等支持自定义SSL验证的HTTP客户端

示例代码框架：

class CustomDownloadManager : BaseHttpDownloadManager() {
    override fun download(apkUrl: String, apkName: String): Flow<DownloadStatus> {
        // 实现自定义下载逻辑
    }
    
    override fun cancel() {
        // 取消下载
    }
    
    override fun release() {
        // 释放资源
    }
}

方案二：修改SSL验证逻辑（不推荐）

虽然可以通过重写X509TrustManager来绕过SSL验证，但这种方法存在严重的安全风险，仅建议在开发测试阶段使用。

不推荐的原因：

完全禁用SSL验证会使应用面临中间人攻击风险
可能违反Google Play的安全政策
无法保证下载内容的完整性和真实性

示例代码（仅用于理解原理）：

private fun disableSSLVerification() {
    val trustAllCerts = arrayOf<TrustManager>(object : X509TrustManager {
        override fun checkClientTrusted(chain: Array<out X509Certificate>?, authType: String?) {}
        override fun checkServerTrusted(chain: Array<out X509Certificate>?, authType: String?) {}
        override fun getAcceptedIssuers(): Array<X509Certificate> = arrayOf()
    })
    
    try {
        val sslContext = SSLContext.getInstance("SSL")
        sslContext.init(null, trustAllCerts, SecureRandom())
        HttpsURLConnection.setDefaultSSLSocketFactory(sslContext.socketFactory)
    } catch (e: Exception) {
        e.printStackTrace()
    }
}