page.title=Network Security Configuration page.keywords=androidn,security,network page.image=images/cards/card-nyc_2x.jpg @jd:body

Dalam dokumen ini

Menambahkan File Konfigurasi Keamanan
Menyesuaikan CA Tepercaya
Merunut CA Saja
Berhenti dari Lalu Lintas Cleartext
Menyematkan Sertifikat
Perilaku Pewarisan Konfigurasi
Format File Konfigurasi

Android N menyertakan fitur Network Security Configuration yang memungkinkan aplikasi menyesuaikan pengaturan keamanan jaringan mereka dalam file konfigurasi deklaratif yang aman tanpa memodifikasi kode aplikasi. Pengaturan ini bisa dikonfigurasi untuk domain dan aplikasi tertentu. Kemampuan utama fitur ini adalah sebagai berikut:

Trust-anchor custom: Menyesuaikan Certificate Authorities (CA) mana yang dipercaya untuk koneksi aman aplikasi. Misalnya, mempercayai sertifikat tertentu yang ditandatangani sendiri atau membatasi set CA umum yang dipercaya aplikasi.
Pengesampingan hanya-runut: Merunut secara aman koneksi aman dalam aplikasi tanpa menambahkan risiko pada basis yang telah diinstal.
Berhenti dari lalu lintas cleartext: Melindungi aplikasi dari penggunaan lalu lintas cleartext secara tidak sengaja.
Penyematan sertifikat: Membatasi koneksi aman aplikasi ke sertifikat tertentu.

Menambahkan File Konfigurasi Keamanan

Fitur Network Security Configuration menggunakan file XML tempat Anda menetapkan pengaturan untuk aplikasi. Anda harus menyertakan sebuah entri dalam manifes aplikasi untuk menunjuk ke file ini. Kutipan kode berikut dari sebuah manifes yang memperagakan cara membuat entri ini:

<?xml version="1.0" encoding="utf-8"?>
...
<app ...>
    <meta-data android:name="android.security.net.config"
               android:resource="@xml/network_security_config" />
    ...
</app>

Menyesuaikan CA Tepercaya

Aplikasi mungkin perlu mempercayai set CA custom sebagai ganti default platform. Alasannya yang paling umum adalah:

Menghubungkan ke host dengan otoritas sertifikat custom (ditandatangani sendiri, dikeluarkan oleh CA internal, dll).
Membatasi set CA hanya untuk CA yang Anda percaya sebagai ganti setiap CA yang sudah terinstal.
Mempercayai CA tambahan yang tidak disertakan dalam sistem.

Secara default koneksi (misalnya TLS, HTTPS) aman dari semua aplikasi mempercayai CA yang telah diinstal oleh sistem, dan aplikasi yang menargetkan API level 23 (Android M) ke bawah, juga mempercayai penyimpanan CA yang ditambahkan pengguna secara default. Aplikasi bisa menyesuaikan koneksinya sendiri menggunakan {@code base-config} (untuk penyesuaian di tingkat aplikasi) atau {@code domain-config} (untuk penyesuaian per-domain).

Mengonfigurasi CA Custom

Anggaplah Anda ingin menghubungkan ke host Anda yang menggunakan sertifikat SSL yang ditandatangani sendiri atau ke host yang sertifikat SSL-nya dikeluarkan oleh CA non-publik yang Anda percaya, seperti CA internal perusahaan Anda.

res/xml/network_security_config.xml:

<?xml version="1.0" encoding="utf-8"?>
<network-security-config>
    <domain-config>
        <domain includeSubdomains="true">example.com</domain>
        <trust-anchors>
            <certificates src="@raw/my_ca"/>
        </trust-anchors>
    </domain-config>
</network-security-config>

Menambahkan sertifikat CA yang ditandatangani sendiri atau sertifikat CA non-publik, dalam format PEM atau DER, ke {@code res/raw/my_ca}.

Membatasi Set CA Tepercaya

Aplikasi yang tidak ingin mempercayai semua CA yang dipercaya oleh sistem sebagai gantinya bisa menetapkan set CA sendiri yang telah dikurangi untuk dipercaya. Ini akan melindungi aplikasi dari sertifikat palsu yang dikeluarkan oleh selain CA.

Konfigurasi untuk membatasi set CA tepercaya mirip dengan mempercayai CA custom untuk domain tertentu selain beberapa CA disediakan dalam sumber daya.

res/xml/network_security_config.xml:

<?xml version="1.0" encoding="utf-8"?>
<network-security-config>
    <domain-config>
        <domain includeSubdomains="true">secure.example.com</domain>
        <domain includeSubdomains="true">cdn.example.com</domain>
        <trust-anchors>
            <certificates src="@raw/trusted_roots"/>
        </trust-anchors>
    </domain-config>
</network-security-config>

Menambahkan CA tepercaya, dalam format PEM atau DER, ke {@code res/raw/trusted_roots}. Perhatikan, jika menggunakan format PEM, file hanya boleh berisi data PEM dan tidak ada teks tambahan. Anda juga bisa menyediakan beberapa elemen <certificates> sebagai ganti satu elemen.

Mempercayai CA Tambahan

Sebuah aplikasi mungkin perlu mempercayai CA tambahan yang tidak dipercaya oleh sistem, hal ini bisa disebabkan karena sistem belum menyertakan CA atau CA tidak memenuhi persyaratan untuk memasukkan ke dalam sistem Android. Aplikasi bisa melakukannya dengan menetapkan beberapa sumber sertifikat untuk konfigurasi.

res/xml/network_security_config.xml:

<?xml version="1.0" encoding="utf-8"?>
<network-security-config>
    <base-config>
        <trust-anchors>
            <certificates src="@raw/extracas"/>
            <certificates src="system"/>
        </trust-anchors>
    </base-config>
</network-security-config>

Mengonfigurasi CA untuk Perunutan

Saat merunut aplikasi yang terhubung melalui HTTPS, Anda mungkin perlu menghubungkan ke server pengembangan lokal, yang tidak memiliki sertifikat SSL untuk server produksi Anda. Untuk mendukungnya tanpa memodifikasi kode aplikasi, Anda bisa menetapkan CA hanya-runut yang hanya dipercaya bila android:debuggable adalah {@code true} dengan menggunakan {@code debug-overrides}. Biasanya IDE dan alat build mengatur flag ini secara otomatis untuk build non-rilis.

Ini lebih aman daripada kode kondisional biasa karena, sebagai tindakan pencegahan keamanan, toko aplikasi tidak menerima aplikasi yang ditandai bisa-dirunut.

res/xml/network_security_config.xml:

<?xml version="1.0" encoding="utf-8"?>
<network-security-config>
    <debug-overrides>
        <trust-anchors>
            <certificates src="@raw/debug_cas"/>
        </trust-anchors>
    </debug-overrides>
</network-security-config>

Berhenti dari Lalu Lintas Cleartext

Aplikasi yang bermaksud menghubungkan ke tujuan dengan hanya menggunakan koneksi aman bisa berhenti mendukung cleartext (menggunakan protokol HTTP yang tidak dienkripsi sebagai ganti HTTPS) ke tujuan tersebut. Opsi ini akan membantu mencegah regresi tidak disengaja dalam aplikasi karena perubahan dalam URL yang disediakan oleh sumber-sumber eksternal seperti server backend. Lihat {@link android.security.NetworkSecurityPolicy#isCleartextTrafficPermitted NetworkSecurityPolicy.isCleartextTrafficPermitted()} untuk detail selengkapnya.

Misalnya, aplikasi mungkin ingin memastikan semua koneksi ke {@code secure.example.com} selalu dilakukan melalui HTTPS untuk melindungi lalu lintas sensitif dari jaringan yang berbahaya.

res/xml/network_security_config.xml:

<?xml version="1.0" encoding="utf-8"?>
<network-security-config>
    <domain-config usesCleartextTraffic="false">
        <domain includeSubdomains="true">secure.example.com</domain>
    </domain-config>
</network-security-config>

Menyematkan Sertifikat

Biasanya aplikasi mempercayai semua CA yang telah terinstal. Jika salah satu dari CA ini mengeluarkan sertifikat palsu, aplikasi akan berisiko terkena serangan MiTM. Beberapa aplikasi memilih untuk membatasi set sertifikat yang mereka terima baik dengan membatasi set CA yang mereka percaya atau dengan menyematkan sertifikat.

Penyematan sertifikat dilakukan dengan memberikan seperangkat sertifikat dengan hash kunci publik (SubjectPublicKeyInfo pada sertifikat X.509). Rantai sertifikat nanti hanya berlaku jika rantai sertifikat berisi setidaknya salah satu dari kunci publik yang disematkan.

Perhatikan, saat menggunakan penyematan sertifikat, Anda harus selalu menyertakan kunci cadangan sehingga jika Anda terpaksa beralih ke kunci baru, atau mengubah CA (saat menyematkan ke sertifikat CA atau perantara CA tersebut), konektivitas aplikasi Anda tidak terpengaruh. Jika tidak, Anda harus mendorong pembaruan ke aplikasi tersebut untuk memulihkan konektivitas.

Selain itu bisa juga mengatur waktu kedaluwarsa untuk pin yang setelah itu penyematan tidak dilakukan. Hal ini membantu mencegah masalah konektivitas dalam aplikasi yang belum diperbarui. Akan tetapi, mengatur waktu kedaluwarsa pada pin mungkin akan membuat penyematan bisa diabaikan.

res/xml/network_security_config.xml:

<?xml version="1.0" encoding="utf-8"?>
<network-security-config>
    <domain-config>
        <domain includeSubdomains="true">example.com</domain>
        <pin-set expiration="2018-01-01">
            <pin digest="SHA-256">7HIpactkIAq2Y49orFOOQKurWxmmSFZhBCoQYcRhJ3Y=</pin>
            <!-- backup pin -->
            <pin digest="SHA-256">fwza0LRMXouZHRC8Ei+4PyuldPDcf3UKgO/04cDM1oE=</pin>
    </domain-config>
</network-security-config>

Perilaku Pewarisan Konfigurasi

Nilai yang tidak diatur dalam konfigurasi tertentu akan diwariskan. Perilaku ini memungkinkan konfigurasi yang lebih kompleks sambil menjaga file konfigurasi tetap terbaca.

Jika nilai tidak diatur dalam entri tertentu maka nilai dari entri berikutnya yang lebih umum akan digunakan. Nilai yang tidak diatur dalam {@code domain-config} akan diambil dari {@code domain-config} induk, jika tersarang, atau dari {@code base-config} jika tidak. Nilai yang tidak diatur dalam {@code base-config} akan menggunakan nilai default platform.

Misalnya pertimbangkan, bila semua koneksi ke subdomain {@code example.com} harus menggunakan set CA custom. Selain itu, lalu lintas cleartext ke domain ini diizinkan kecuali saat menghubungkan ke {@code secure.example.com}. Dengan menyarangkan konfigurasi untuk {@code secure.example.com} dalam konfigurasi untuk {@code example.com}, {@code trust-anchors} tidak perlu digandakan.

res/xml/network_security_config.xml:

<?xml version="1.0" encoding="utf-8"?>
<network-security-config>
    <domain-config>
        <domain includeSubdomains="true">example.com</domain>
        <trust-anchors>
            <certificates src="@raw/my_ca"/>
        </trust-anchors>
        <domain-config cleartextTrafficPermitted="false">
            <domain includeSubdomains="true">secure.example.com</domain>
        </domain-config>
    </domain-config>
</network-security-config>

Format File Konfigurasi

Fitur Network Security Configuration menggunakan format file XML. Struktur keseluruhan file ditampilkan dalam contoh kode berikut:

<?xml version="1.0" encoding="utf-8"?>
<network-security-config>
    <base-config>
        <trust-anchors>
            <certificates src="..."/>
            ...
        </trust-anchors>
    </base-config>

    <domain-config>
        <domain>android.com</domain>
        ...
        <trust-anchors>
            <certificates src="..."/>
            ...
        </trust-anchors>
        <pin-set>
            <pin digest="...">...</pin>
            ...
        </pin-set>
    </domain-config>
    ...
    <debug-overrides>
        <trust-anchors>
            <certificates src="..."/>
            ...
        </trust-anchors>
    </debug-overrides>
</network-security-config>

Bagian berikut menjelaskan sintaks dan detail lainnya dari format file.

<network-security-config>

bisa berisi:: 0 atau 1 <base-config>
Sejumlah <domain-config>
0 atau 1 <debug-overrides>

<base-config>

sintaks:

<base-config usesCleartextTraffic=["true" | "false"]>
    ...
</base-config>

bisa berisi:

<trust-anchors>

keterangan:

Konfigurasi default yang digunakan oleh semua koneksi yang tujuannya tidak tercakup oleh domain-config.

Nilai yang tidak diatur akan menggunakan nilai default platform. Konfigurasi default untuk aplikasi yang menargetkan API level 24 ke atas:

<base-config usesCleartextTraffic="true">
    <trust-anchors>
        <certificates src="system" />
    </trust-anchors>
</base-config>

Konfigurasi default untuk aplikasi yang menargetkan API level 23 ke bawah:

<base-config usesCleartextTraffic="true">
    <trust-anchors>
        <certificates src="system" />
        <certificates src="user" />
    </trust-anchors>
</base-config>

<domain-config>

sintaks:

<domain-config usesCleartextTraffic=["true" | "false"]>
    ...
</domain-config>

Bisa Berisi:

1 atau beberapa <domain>
0 atau 1 <trust-anchors>
0 atau 1 <pin-set>
Sejumlah <domain-config> tersarang

Keterangan

Konfigurasi yang digunakan untuk koneksi ke tujuan tertentu seperti didefinisikan oleh elemen {@code domain}.

Perhatikan, jika beberapa elemen {@code domain-config} mencakup suatu tujuan, konfigurasi dengan aturan domain paling spesifik (terpanjang) yang cocok akan digunakan.

<domain>

sintaks:

<domain includeSubdomains=["true" | "false"]>example.com</domain>

Atribut:

{@code includeSubdomains}: Jika {@code "true"} maka aturan domain ini akan dicocokkan dengan domain dan semua subdomain, termasuk subdomain dari subdomain, jika tidak peraturan hanya diterapkan pada kecocokan yang persis tepat.

Keterangan:

<debug-overrides>

sintaks:

<debug-overrides>
    ...
</debug-overrides>

Bisa Berisi:

0 atau 1 <trust-anchors>

Keterangan:

Pengesampingan yang akan diterapkan bila android:debuggable adalah {@code "true"} yang biasanya terjadi untuk build non-rilis yang dihasilkan oleh alat IDE dan build. Trust-anchor yang ditetapkan dalam {@code debug-overrides} akan ditambahkan ke semua konfigurasi lainnya dan penyematan sertifikat tidak dilakukan bila rantai sertifikat server menggunakan satu dari trust-anchor hanya-runut ini. Jika android:debuggable adalah {@code "false"} maka bagian ini akan diabaikan sepenuhnya.

<trust-anchors>

sintaks:

<trust-anchors>
...
</trust-anchors>

Bisa Berisi:

Sejumlah <certificates>

Keterangan:

Set trust-anchor untuk koneksi aman.

<certificates>

sintaks:

<certificates src=["system" | "user" | "raw resource"]
              overridePins=["true" | "false"] />

keterangan:

Set sertifikat X.509 untuk elemen {@code trust-anchors}.

atribut:

{@code src}

Sumber sertifikat CA, bisa salah satu dari

ID sumber daya mentah yang menunjuk ke file berisi sertifikat X.509. Sertifikat harus dikodekan dalam format DER atau PEM. Dalam hal sertifikat PEM, file tidak boleh berisi data tambahan non-PEM seperti komentar.
{@code "system"} untuk sertifikat CA sistem yang telah terinstal.
{@code "user"} untuk sertifikat CA yang ditambahkan pengguna.

{@code overridePins}

Menetapkan apakah CA dari sumber akan mengabaikan penyematan sertifikat. Jika {@code "true"} maka rantai sertifikat yang rantainya melalui salah satu CA dari sumber ini tidak akan disematkan. Hal ini bisa berguna untuk CA perunutan atau untuk mendukung dengan memungkinkan pengguna melakukan MiTM atas lalu lintas aman aplikasi Anda.

Default-nya adalah {@code "false"} kecuali jika ditetapkan dalam elemen {@code debug-overrides}, dalam hal demikian default-nya adalah {@code "true"}.

<pin-set>

sintaks:

<pin-set expiration="date">
...
</pin-set>

Bisa Berisi:

Sejumlah <pin>

Keterangan:

Satu set pin kunci publik. Agar koneksi aman bisa dipercaya, salah satu kunci publik dalam rantai kepercayaan harus berada dalam set pin. Lihat <pin> untuk mengetahui format pin.

Atribut:

{@code expiration}: Tanggal, dalam format {@code yyyy-MM-dd}, pada saat dan setelah pin kedaluwarsa, sehingga menonaktifkan penyematan. Jika atribut tidak diatur maka pin tidak kedaluwarsa.
Tanggal kedaluwarsa membantu mencegah masalah konektivitas di aplikasi yang tidak mendapatkan pembaruan untuk set pin mereka, misalnya karena pengguna menonaktifkan pembaruan aplikasi.

<pin>

sintaks:

<pin digest=["SHA-256"]>base64 encoded digest of X.509
    SubjectPublicKeyInfo (SPKI)</pin>

Atribut:

{@code digest}: Algoritma intisari yang digunakan untuk menghasilkan pin. Saat ini, hanya {@code "SHA-256"} yang didukung.