ssl - JDK 7 SSL 连接问题忽略不支持的密码套件 : TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

标签 ssl java-7

我正在建立一个 SSL 连接(作为客户端)并根据 this Oracle article如果您使用 TLSv1.2 并启用管辖策略的强版本,则 JDK7 支持以下两种密码套装。

  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

然而,在建立安全连接时,这两种密码算法会被忽略。 

Ignoring unsupported cipher suite: TLS_DHE_DSS_WITH_AES_128_CBC_SHA256
Ignoring unsupported cipher suite: TLS_DHE_DSS_WITH_AES_256_CBC_SHA256
Ignoring unsupported cipher suite: TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
Ignoring unsupported cipher suite: TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256
Ignoring unsupported cipher suite: TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
**Ignoring unsupported cipher suite: TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384**
Ignoring unsupported cipher suite: TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA384
Ignoring unsupported cipher suite: TLS_RSA_WITH_AES_256_CBC_SHA256
**Ignoring unsupported cipher suite: TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256**
Ignoring unsupported cipher suite: TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
Ignoring unsupported cipher suite: TLS_ECDH_RSA_WITH_AES_256_CBC_SHA384
Ignoring unsupported cipher suite: TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
Ignoring unsupported cipher suite: TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256
Ignoring unsupported cipher suite: TLS_RSA_WITH_AES_128_CBC_SHA256
Allow unsafe renegotiation: false
Allow legacy hello messages: true
Is initial handshake: true
Is secure renegotiation: false
%% No cached client session
*** ClientHello, TLSv1.2
RandomCookie:  GMT: 1496192143 bytes = { 166, 200, 78, 178, 69, 10, 17, 174, 212, 142, 188, 108, 136, 152, 242, 222, 94, 231, 4, 86, 2, 99, 202, 4, 204, 130, 236, 120 }
Session ID:  {}
Cipher Suites: [TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_256_CBC_SHA, TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA, TLS_ECDH_RSA_WITH_AES_256_CBC_SHA, TLS_DHE_RSA_WITH_AES_256_CBC_SHA, TLS_DHE_DSS_WITH_AES_256_CBC_SHA, TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA, TLS_ECDH_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_DSS_WITH_AES_128_CBC_SHA, TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA, TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA, SSL_RSA_WITH_3DES_EDE_CBC_SHA, TLS_ECDH_ECDSA_WITH_3DES_EDE_CBC_SHA, TLS_ECDH_RSA_WITH_3DES_EDE_CBC_SHA, SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA, SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA, TLS_ECDHE_ECDSA_WITH_RC4_128_SHA, TLS_ECDHE_RSA_WITH_RC4_128_SHA, SSL_RSA_WITH_RC4_128_SHA, TLS_ECDH_ECDSA_WITH_RC4_128_SHA, TLS_ECDH_RSA_WITH_RC4_128_SHA, SSL_RSA_WITH_RC4_128_MD5, TLS_EMPTY_RENEGOTIATION_INFO_SCSV]
Compression Methods:  { 0 }
Extension elliptic_curves, curve names: {secp256r1, sect163k1, sect163r2, secp192r1, secp224r1, sect233k1, sect233r1, sect283k1, sect283r1, secp384r1, sect409k1, sect409r1, secp521r1, sect571k1, sect571r1, secp160k1, secp160r1, secp160r2, sect163r1, secp192k1, sect193r1, sect193r2, secp224k1, sect239k1, secp256k1}
Extension ec_point_formats, formats: [uncompressed]
Extension signature_algorithms, signature_algorithms: SHA512withECDSA, SHA512withRSA, SHA384withECDSA, SHA384withRSA, SHA256withECDSA, SHA256withRSA, SHA224withECDSA, SHA224withRSA, SHA1withECDSA, SHA1withRSA, SHA1withDSA, MD5withRSA
Extension server_name, server_name: [host_name: api.sms.optus.com.au]
***
main, WRITE: **TLSv1.2** Handshake, length = 222
main, READ: TLSv1.2 Alert, length = 2
main, RECV TLSv1 ALERT:  fatal, handshake_failure
main, called closeSocket()
main, handling exception: javax.net.ssl.SSLHandshakeException: Received fatal alert: handshake_failure
ERROR [main] (TestRest.java:42) - Error :

我已经设置了TLSv1.2

  • -Dhttps.protocols=TLSv1.2

我已经安装了“JCE Unlimited Strength Jurisdiction Policy Files”,我可以通过运行以下代码确认它已成功安装

try {
    int maxAllowedKeyLength = Cipher.getMaxAllowedKeyLength("AES");
    System.out.println("AES: " + maxAllowedKeyLength);
    return maxAllowedKeyLength >= 256;
} catch (NoSuchAlgorithmException e) {
    return false;
}

我认为这两种密码算法在JDK7中是不支持的,但是在Oracle文章中错误地提到了?

注意事项:

  • 如果我在JDK8 中运行代码没有问题。
  • 我在防火墙后面,不得不设置代理。但我认为它不相关,因为我可以毫无问题地连接到 JDK8。

最佳答案

“已启用”密码列表的初始设置是在完成任何定制之前在 SSLContextImpl.init 中计算的,在 Java7 客户端中,初始协议(protocol)列表仅为 SSLv3 和 TLSv1(在最新版本中java.security 配置 jdk.tls.disabledAlgorithms 以删除 SSLv3 因为 POODLE) 所以这将禁用所有仅 TLSv1.2 的密码,这是该服务器唯一同意的密码。这是在实际握手开始之前跟踪中的Ignoing unsupported 消息的来源。

如果使用 HttpsURLConnection,您需要设置两者 https.protocolshttps.cipherSuites(注意大写 S ) 系统 Prop 。如果直接使用 SSLSocket,您需要同时调用 .setEnabledProtocols,包括(至少)TLSv1.2.setEnabledCipherSuites包括(至少)您在 Q 中突出显示的密码套件之一,或替换/包装工厂以执行等效操作。

Java8 没有问题,因为它的客户端和服务器的默认协议(protocol)列表是 SSLv3、TLSv1、TLSv1.1、TLSv1.2,jdk.tls.disabledAlgorithms 删除了 SSLv3

关于ssl - JDK 7 SSL 连接问题忽略不支持的密码套件 : TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/44378970/

上一篇:google-chrome - 如何在 Postman 中使用自签名证书

下一篇:macos - 在 osx El Capitan 中找不到 openssl 命令

相关文章:

javascript - 在 arangojs 中配置 TLS 证书颁发机构

ubuntu - 在 ubuntu 18.04.3 nginx 上设置 SSL

php - 使用 php 从 Unix weberver 网站使用 GMail SMTP 服务器发送电子邮件

java - Java.Util.Calendar 值的任意分配

java - 属性(property)的动机是什么?

java - 我如何使用 JDK 1.7 运行 jersey 2.26?

java - 为 Mac OS X 安装 Java JDK 7 后 - mvn -version 仍然显示 java 版本 1.6.0_31

java Web 服务客户端尝试通过 SSL 访问 Web 服务 - TrustManagerFactoryImpl 未初始化

java-7 - 在 JDK 1.7 上使用 emma/Cobertura 时出现 java.lang.VerifyError

HTTPS 与 HTTP 速度比较

©2024 IT工具网  联系我们