javax.net.ssl.SSLException：收到致命警报：bad_record_mac答案

【问题标题】：javax.net.ssl.SSLException: Received fatal alert: bad_record_macjavax.net.ssl.SSLException：收到致命警报：bad_record_mac
【发布时间】：2014-03-11 07:10:38
【问题描述】：

我收到了一个用于 HTTPS 连接的 javax.net.ssl.SSLException: Received fatal alert: bad_record_mac。并非每个请求都会发生这种情况——如果我在 10 次中发送相同的请求，我只会收到一次或两次此错误。

我有以下代码来验证证书：

TrustManager[] trustAllCerts = new TrustManager[] { new X509TrustManager() {
            public java.security.cert.X509Certificate[] getAcceptedIssuers() {
                return null;
            }

            public void checkClientTrusted(X509Certificate[] certs, String authType) {
            }

            public void checkServerTrusted(X509Certificate[] certs, String authType) {
            }

        } };

        try {
            SSLContext sslContext = null;
                try {
                    sslContext = SSLContext.getInstance("SSLv3");
                    
                } catch (NoSuchAlgorithmException e3) {
                    logException(Arrays.toString(e3.getStackTrace()));          
            }

            sslContext.init(null, trustAllCerts, new java.security.SecureRandom());
            SSLSocketFactory factory = sslContext.getSocketFactory();
            HttpsURLConnection.setDefaultSSLSocketFactory(factory);
        } catch (KeyManagementException e) {
            logException(Arrays.toString(e.getStackTrace()));
        }

        // Create all-trusting host name verifier
        HostnameVerifier allHostsValid = new HostnameVerifier() {
            public boolean verify(String hostname, SSLSession session) {
                return true;
            }
        };
        // Install the all-trusting host verifier
        HttpsURLConnection.setDefaultHostnameVerifier(allHostsValid);
        /*
         * end of the fix
         */

我在 main 方法中设置了两个系统属性：

System.setProperty("jsse.enableSNIExtension", "false");
        System.setProperty("https.protocols", "SSLv3");

但没有任何帮助。

【问题讨论】：

我已经设置了属性
顺便说一句，如果目标只有一台服务器（即没有具有不同目标的负载均衡器），那么它不符合此错误的标准：bugs.openjdk.java.net/browse/JDK-4615819（它已有十年历史，但从未在客户端上修复过边）。但是我想提到它是一个可能的情况，当只有 SSL3 的服务器时......（现在不应该是这种情况了！）

标签： java ssl https

【解决方案1】：

根据this rubygems issue 和错误的详细描述（见下文），这似乎是Oracle JDK 中的一个错误，而OpenJDK 中不存在该错误。我记得（但无法验证）OpenSSL 中存在一个也导致此错误的错误，因此您可能需要检查连接另一端的软件。

您可以阅读有关此错误含义的更多详细信息here。

【讨论】：

我们在 Braintree 的支付网关上遇到了这个问题，他们说将 Oracle JDK 升级到 1.7 u 51 或更高版本可以解决问题（实际上，使用 u 67 我们不再看到问题）。我试图找出发生这种情况的 JDK 的底层版本，因为他们刚刚说 u 45“或更低”......

【解决方案2】：

很难说是什么原因造成的。您需要通过分析日志来找出答案。通过设置属性启用调试：

System.setProperty("javax.net.debug", "all");

并检查有什么问题。

一个问题可能是服务器不支持 TLS，这可能是由实现选择的。为确保您始终使用普通 SSLv3 设置属性：

System.setProperty("https.protocols", "SSLv3");

【讨论】：

【解决方案3】：

尝试将com.sun.net.ssl.rsaPreMasterSecretFix 设置为true。

【讨论】：