我们在Android项目中使用okhttp来与API通信;所有通信都使用SSL / TLS加密,并且我们的服务器可以使用SPDY。我们还链接了Google Play服务的融合位置提供程序和其他一些功能。
我们目前没有使用的Play服务部分是它们的安全提供程序,该提供程序承诺将设备的SSL堆栈升级以保护免受各种漏洞的影响。但是,文档对于提供程序实际上做了什么,以及哪些SSL方法受其影响,哪些不受其影响有些模糊(提供了一些示例,但不是详尽列表)。
所以,我想问两个问题:
动态安全提供程序是否适用于okhttp,或者okhttp依赖于未受提供程序安装影响的更低级别(或更高级别)的API?
假设它确实有效,它有什么好处? 是否有值得关注的安全性好处? 它是否能够修复okhttp 2.2中与ALPN相关的本机崩溃问题,就像nfuller暗示的那样?