ssl - 从 java.security 文件中删除 3DES_EDE_CBC 如何允许使用 RC4-MD5 密码对服务器进行 HTTPS 调用?
问题描述
当使用 Apache HttpClient 的 java 8 客户端代码调用 https 服务器时,我们看到以下错误。
javax.net.ssl.SSLHandshakeException: Remote host closed connection during handshake
at sun.security.ssl.SSLSocketImpl.readRecord(SSLSocketImpl.java:1002)
at sun.security.ssl.SSLSocketImpl.performInitialHandshake(SSLSocketImpl.java:1385)
at sun.security.ssl.SSLSocketImpl.startHandshake(SSLSocketImpl.java:1413)
at sun.security.ssl.SSLSocketImpl.startHandshake(SSLSocketImpl.java:1397)
at org.apache.http.conn.ssl.SSLSocketFactory.createLayeredSocket(SSLSocketFactory.java:573)
at org.apache.http.conn.ssl.SSLSocketFactory.connectSocket(SSLSocketFactory.java:557)
at org.apache.http.conn.ssl.SSLSocketFactory.connectSocket(SSLSocketFactory.java:414)
at org.apache.http.impl.conn.DefaultClientConnectionOperator.openConnection(DefaultClientConnectionOperator.java:180)
at org.apache.http.impl.conn.ManagedClientConnectionImpl.open(ManagedClientConnectionImpl.java:326)
at org.apache.http.impl.client.DefaultRequestDirector.tryConnect(DefaultRequestDirector.java:610)
at org.apache.http.impl.client.DefaultRequestDirector.execute(DefaultRequestDirector.java:445)
at org.apache.http.impl.client.AbstractHttpClient.doExecute(AbstractHttpClient.java:835)
at org.apache.http.impl.client.CloseableHttpClient.execute(CloseableHttpClient.java:83)
at org.apache.http.impl.client.CloseableHttpClient.execute(CloseableHttpClient.java:108)
at HttpClient.main(HttpClient.java:64)
Caused by: java.io.EOFException: SSL peer shut down incorrectly
at sun.security.ssl.InputRecord.read(InputRecord.java:505)
at sun.security.ssl.SSLSocketImpl.readRecord(SSLSocketImpl.java:983)
... 14 more
发现服务器有 RC4-MD5 密码,由于 Java 8 不支持,所以发生了这个错误。这是在目标 https 服务器上运行“openssl s_client -tls1 -connect :443”后的结果。
New, TLSv1/SSLv3, Cipher is RC4-MD5
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
Protocol : TLSv1
Cipher : RC4-MD5
所以我在 JVM 的“java.secuity”文件中编辑了 jdk.tls.disabledAlgorithms 属性。我从该条目中删除了选项“3DES_EDE_CBC”。
旧属性值:
jdk.tls.disabledAlgorithms=SSLv3, MD5withRSA, DH keySize < 1024, \
EC keySize < 224, DES40_CBC_40, 3DES_EDE_CBC
编辑的属性值:
jdk.tls.disabledAlgorithms=SSLv3, MD5withRSA, DH keySize < 1024, \
EC keySize < 224, DES40_CBC_40
编辑 java.security 文件后,Java HTTPS 调用工作。
问题:从禁用的算法中删除“3DES_EDE_CBC”算法如何允许此 HTTPS 调用工作?我怎样才能更好地理解这一点?谢谢。
解决方案
服务器通常支持多个密码套件。服务器很可能至少支持 RC4 和 3DES,因此在您的客户端中启用 3DES 就足以找到一个通用密码。
推荐阅读
- node.js - ExpressJS 服务器每晚离线 - 502 Bad Gateway
- javascript - Javascript 函数输出 | 构造函数类型
- c# - asp.net 核心标识 RoleTable 的 RoleId 作为外键
- android - 无法解析 DaggerAppComponent
- mongoose - 猫鼬 - 不与“mlab”连接如何解决这个问题?
- ios - Carplay 连接/断开连接事件?
- c# - ObjectListview 在基于文本的过滤器和重新绑定上非常慢
- c# - 等待文字转语音
- c++ - 在不使用 system() 的情况下在 C++ 中运行 javascript 代码
- node.js - 获取图像 URL 时出现 ECONNRESET 错误