Chrome/Firefox 和 Jetty HTTPS答案

【问题标题】：Chrome/Firefox and Jetty HTTPSChrome/Firefox 和 Jetty HTTPS
【发布时间】：2016-05-15 22:25:37
【问题描述】：

我有一个在 Jetty 6 上运行的应用程序，它通过 HTTPS 访问。与 IE 11 连接有效，但不适用于 Firefox 43 或 Google 40。 SSL 跟踪显示 Jetty 和浏览器无法找到通用密码：

   %% Initialized:  [Session-13, SSL_NULL_WITH_NULL_NULL]
   %% Invalidated:  [Session-13, SSL_NULL_WITH_NULL_NULL]
   783842035@qtp-1833323686-4, SEND TLSv1.2 ALERT:  fatal, description = handshake_failure
   783842035@qtp-1833323686-4, WRITE: TLSv1.2 Alert, length = 2
   [Raw write]: length = 7
   0000: 15 03 03 00 02 02 28                               ......(
   783842035@qtp-1833323686-4, called closeSocket()
   783842035@qtp-1833323686-4, handling exception: javax.net.ssl.SSLHandshakeException: no cipher suites in common

但是，当使用 IE 11 时，所选密码为 TLS_DHE_DSS_WITH_AES_128_CBC_SHA256：

    %% Initialized:  [Session-30, SSL_NULL_WITH_NULL_NULL]
    %% Negotiating:  [Session-30, TLS_DHE_DSS_WITH_AES_128_CBC_SHA256]
    *** ServerHello, TLSv1.2

由于 Chrome 在连接失败时会警告 RC4 密码：

无法建立安全连接，因为此站点使用 >>不受支持的协议或密码套件。这很可能是在 >> 服务器需要 RC4 时引起的，这不再被认为是安全的。

我通过添加以下属性在 java.security 中排除了 RC4

    jdk.tls.disabledAlgorithms=RC4

但无济于事，Chrome和FF仍然无法连接。我已经没有想法了。有什么建议？ TIA。

【问题讨论】：

使用诸如ssllabs.com/ssltest/index.html 之类的工具检查您的服务器以查找提供的密码套件。出于安全原因，Jetty 6 提供的密码可能已被弃用，并且新版本的 Firefox 和 Chrome 不再支持（请参阅 SSL Labs 的握手模拟部分）。我很难找到有关如何为 Jetty 6 提供额外密码套件的参考资料。

标签： java google-chrome firefox ssl jetty

【解决方案1】：

Jetty 6 很久以前 EOL（生命终结）。

如果您坚持使用 Jetty 6，请知道您需要的 SSL/TLS 调整级别在该版本的 Jetty 中不存在。

您要么必须坚持 JVM 级别的调整，要么编写自定义的 SslSelectChannelConnector（抱歉，Jetty 7 中引入了更简单的 SslContextFactory 概念）实现自己的必要的包含和排除密码和协议，以及新的 TLS 密码订购要求，以可靠地实现这一目标。

码头 9.3.7.v20160115 是 almost up to date with the recent and upcoming browser changes。下一个版本（可能是 9.3.8）将进行剩余的调整以支持最近的浏览器更改，但仅限于 Java 8u72（或更高版本）。

另外值得注意的是，由于您在 Jetty 上启用了 SSL/TLS，因此您必须保持您的 Java 版本是最新的，如果没有其他原因，那么要跟上过去几年 SSL/TLS 的变化.

【讨论】：