React Native Video 项目中 Android 平台 SSL 证书验证问题解析

问题背景

在 React Native Video 项目（版本 6.4.5）的 Android 平台实现中，开发者报告了一个关于视频流播放失败的严重问题。当尝试播放 m3u8 格式的视频流时，系统抛出了一个 SSL 证书验证相关的异常，导致视频无法正常播放。这个问题仅出现在 Android 平台（特别是 Android 15 系统），而 iOS 平台则工作正常。

错误现象分析

系统抛出的核心错误信息是：

androidx.media3.exoplayer.ExoPlaybackException: Source error
Caused by: javax.net.ssl.SSLHandshakeException: java.security.cert.CertPathValidatorException: Trust anchor for certification path not found.

这个错误链表明，问题发生在 HTTPS 连接建立阶段，具体是 SSL/TLS 握手过程中证书验证失败。错误信息明确指出系统无法找到信任锚（Trust anchor），即客户端无法验证服务器证书的有效性。

根本原因

经过技术分析，这个问题可能由以下几个原因导致：

1. 证书链不完整：服务器可能没有提供完整的证书链，导致客户端无法构建有效的证书路径。

2. 自签名证书：服务器使用了自签名证书，而该证书没有被添加到客户端的信任存储中。

3. 证书过期：服务器证书可能已经过期，或者客户端设备时间设置不正确导致证书验证失败。

4. 中间证书缺失：服务器配置中可能缺少必要的中间证书。

5. Android 网络安全配置：应用可能没有正确配置网络安全策略，特别是对于非标准证书的处理。

解决方案

针对这个问题，开发者可以采取以下几种解决方案：

1. 修复服务器证书配置

最根本的解决方案是确保服务器端提供完整且有效的证书链：

• 确保证书由公认的证书颁发机构签发
• 包含所有必要的中间证书
• 证书没有过期
• 证书的 Subject Alternative Name (SAN) 包含正确的域名

2. 客户端时间同步

验证客户端设备的时间设置是否正确，因为证书验证依赖于准确的时间戳：

// 检查设备时间是否准确
if (Math.abs(System.currentTimeMillis() - NetworkTime.getNetworkTime()) > TIME_TOLERANCE) {
    // 提示用户同步时间
}

3. 自定义信任管理器（仅限开发环境）

对于开发环境或内部测试，可以创建自定义的信任管理器来绕过证书验证：

TrustManager[] trustAllCerts = new TrustManager[] {
    new X509TrustManager() {
        public void checkClientTrusted(X509Certificate[] chain, String authType) {}
        public void checkServerTrusted(X509Certificate[] chain, String authType) {}
        public X509Certificate[] getAcceptedIssuers() { return new X509Certificate[0]; }
    }
};

注意：生产环境绝对不应该使用这种方法，会严重降低安全性。

4. 配置 Android 网络安全策略

在应用的网络安全配置文件中添加对特定域名的信任配置：

<!-- res/xml/network_security_config.xml -->
<network-security-config>
    <domain-config>
        <domain includeSubdomains="true">yourdomain.com</domain>
        <trust-anchors>
            <certificates src="@raw/my_ca"/>
        </trust-anchors>
    </domain-config>
</network-security-config>

然后在 AndroidManifest.xml 中引用此配置：

<application
    android:networkSecurityConfig="@xml/network_security_config"
    ... >

5. 使用 OKHttp 自定义配置

通过自定义 OKHttp 客户端来调整 SSL 验证策略：

OkHttpClient.Builder builder = new OkHttpClient.Builder();
builder.sslSocketFactory(createSSLSocketFactory(), createTrustManager());

最佳实践建议

1. 生产环境：始终使用有效的、由公认 CA 签发的证书
2. 开发环境：可以使用自签名证书，但需正确配置网络安全策略
3. 测试阶段：在各种 Android 版本和设备上测试证书验证
4. 错误处理：实现完善的错误处理机制，为用户提供友好的错误提示
5. 日志记录：详细记录证书验证失败的日志，便于问题排查

总结

React Native Video 在 Android 平台上遇到的 SSL 证书验证问题是一个常见但重要的安全问题。开发者应该优先考虑修复服务器端证书配置，而不是在客户端绕过安全验证。只有在特定情况下（如企业内部应用）才考虑使用自定义信任策略，并且必须充分了解其安全风险。正确的证书配置不仅能解决播放问题，还能确保应用数据传输的安全性。