Google在Android P上默认开启TLS

谷歌表示，针对下一版Android（Android P）的应用程序默认需要使用加密连接。

为确保用户数据和设备的安全，该公司正在保护传输层安全（TLS）的Android设备上的所有入站和出站数据。因此，默认情况下，Android P上的应用程序不再允许使用未加密的连接。

这是互联网巨头为防止Android用户受到更好保护而采取的最新措施，防止了Android（6.0）棉花糖意外未加密的连接。

该搜索公司还向Android（7.0）Nougat添加了网络安全配置功能，允许应用表明他们不打算在没有加密的情况下发送网络流量。

但是，Android Nougat和Oreo仍然允许使用明文连接，这是为了传统用途所必需的，例如与旧服务器建立连接。

谷歌表示，在目前可用的开发人员预览版的Android P中，TLS默认开启。已经为所有连接使用协议的应用程序不会受到更改的影响，但不应更新那些使用TLS来加密通信的应用程序。

Android安全性高级软件工程师Chad Brubaker在一篇博客文章中指出：“Android认为所有网络都可能具有敌意性，因此加密流量应该始终用于所有连接。

他还指出，移动设备存在风险，因为它们连接到不同的网络，包括公共Wi-Fi热点。

Brubaker说：“所有流量都应该加密，无论内容如何，​​因为任何未加密的连接都可以用于注入内容，增加潜在易受攻击的客户端代码的攻击面，或追踪用户。

要更新其应用程序以使用TLS，开发人员只需将协议实施到其服务器，然后将应用程序中的所有URL和服务器响应更改为HTTPS。在制作套接字时，开发人员应该使用SSLSocketFactory而不是SocketFactory，Brubaker指出。

对于仍然需要用于传统目的的明文连接的应用程序，应该对应用程序的网络安全配置进行更改以允许此类连接。

如果应用程序支持通过不安全连接从链接打开任意内容，则Brubaker建议，在启用任意主机时，应禁用与开发人员服务器的明文连接。

谷歌长期以来一直倡导采用基于HTTP的HTTPS，并在几年前开始将加密页面推到搜索结果列表的顶部。其他公司也在推动加密的互联网，包括Apple，GitHub，WordPress等。