Мы используем okhttp в нашем Android-проекте, чтобы поговорить с нашим API; все коммуникации шифруются с помощью SSL/TLS, и наши серверы могут говорить SPDY. Мы также связываем Службы Google Play для поставщика плавного доступа и некоторые другие функции.
Часть Служб Службы, которые мы в настоящее время не используем, это их поставщик безопасности, который promises обновляет стек SSL устройства, чтобы каким-то образом защитить от различных уязвимостей. Тем не менее, документы несколько расплывчаты относительно того, что на самом деле делает провайдер, и о том, какие именно методы SSL влияют на него, а какие нет (приводится несколько примеров каждого из них, но не полный список).
Итак, я думаю, мой вопрос двоякий:
-
Будет ли динамический поставщик безопасности работать с okhttp, или okhttp полагается на API более низкого уровня (или более высокого уровня), на которые не влияет установка поставщика?
-
Предполагая, что это действительно работает, каковы преимущества? Есть ли преимущества в плане безопасности, о которых стоит заботиться? Будет ли это на самом деле исправить родной сбой ALPN в okhttp 2.2, так как nfuller подсказывает, что он может?