JDK 7 SSL 连接问题忽略不支持的密码套件:TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

【问题标题】:JDK7 SSL conenction Issue Ignoring unsupported cipher suite: TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256JDK 7 SSL 连接问题忽略不支持的密码套件:TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
【发布时间】:2017-06-05 23:03:52
【问题描述】:

我正在建立 SSL 连接(作为客户端),根据this Oracle article,如果您使用 TLSv1.2 并启用强版本的管辖策略,JDK7 支持以下两种密码套装。

  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

但是,在进行安全连接时会忽略这两种密码算法。 

Ignoring unsupported cipher suite: TLS_DHE_DSS_WITH_AES_128_CBC_SHA256
Ignoring unsupported cipher suite: TLS_DHE_DSS_WITH_AES_256_CBC_SHA256
Ignoring unsupported cipher suite: TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
Ignoring unsupported cipher suite: TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256
Ignoring unsupported cipher suite: TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
**Ignoring unsupported cipher suite: TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384**
Ignoring unsupported cipher suite: TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA384
Ignoring unsupported cipher suite: TLS_RSA_WITH_AES_256_CBC_SHA256
**Ignoring unsupported cipher suite: TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256**
Ignoring unsupported cipher suite: TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
Ignoring unsupported cipher suite: TLS_ECDH_RSA_WITH_AES_256_CBC_SHA384
Ignoring unsupported cipher suite: TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
Ignoring unsupported cipher suite: TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256
Ignoring unsupported cipher suite: TLS_RSA_WITH_AES_128_CBC_SHA256
Allow unsafe renegotiation: false
Allow legacy hello messages: true
Is initial handshake: true
Is secure renegotiation: false
%% No cached client session
*** ClientHello, TLSv1.2
RandomCookie:  GMT: 1496192143 bytes = { 166, 200, 78, 178, 69, 10, 17, 174, 212, 142, 188, 108, 136, 152, 242, 222, 94, 231, 4, 86, 2, 99, 202, 4, 204, 130, 236, 120 }
Session ID:  {}
Cipher Suites: [TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_256_CBC_SHA, TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA, TLS_ECDH_RSA_WITH_AES_256_CBC_SHA, TLS_DHE_RSA_WITH_AES_256_CBC_SHA, TLS_DHE_DSS_WITH_AES_256_CBC_SHA, TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA, TLS_ECDH_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_DSS_WITH_AES_128_CBC_SHA, TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA, TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA, SSL_RSA_WITH_3DES_EDE_CBC_SHA, TLS_ECDH_ECDSA_WITH_3DES_EDE_CBC_SHA, TLS_ECDH_RSA_WITH_3DES_EDE_CBC_SHA, SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA, SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA, TLS_ECDHE_ECDSA_WITH_RC4_128_SHA, TLS_ECDHE_RSA_WITH_RC4_128_SHA, SSL_RSA_WITH_RC4_128_SHA, TLS_ECDH_ECDSA_WITH_RC4_128_SHA, TLS_ECDH_RSA_WITH_RC4_128_SHA, SSL_RSA_WITH_RC4_128_MD5, TLS_EMPTY_RENEGOTIATION_INFO_SCSV]
Compression Methods:  { 0 }
Extension elliptic_curves, curve names: {secp256r1, sect163k1, sect163r2, secp192r1, secp224r1, sect233k1, sect233r1, sect283k1, sect283r1, secp384r1, sect409k1, sect409r1, secp521r1, sect571k1, sect571r1, secp160k1, secp160r1, secp160r2, sect163r1, secp192k1, sect193r1, sect193r2, secp224k1, sect239k1, secp256k1}
Extension ec_point_formats, formats: [uncompressed]
Extension signature_algorithms, signature_algorithms: SHA512withECDSA, SHA512withRSA, SHA384withECDSA, SHA384withRSA, SHA256withECDSA, SHA256withRSA, SHA224withECDSA, SHA224withRSA, SHA1withECDSA, SHA1withRSA, SHA1withDSA, MD5withRSA
Extension server_name, server_name: [host_name: api.sms.optus.com.au]
***
main, WRITE: **TLSv1.2** Handshake, length = 222
main, READ: TLSv1.2 Alert, length = 2
main, RECV TLSv1 ALERT:  fatal, handshake_failure
main, called closeSocket()
main, handling exception: javax.net.ssl.SSLHandshakeException: Received fatal alert: handshake_failure
ERROR [main] (TestRest.java:42) - Error :

我已经设置了 TLSv1.2

  • -Dhttps.protocols=TLSv1.2

我已经安装了“JCE Unlimited Strength Jurisdiction Policy Files”,我可以通过运行以下代码确认其安装成功

try {
    int maxAllowedKeyLength = Cipher.getMaxAllowedKeyLength("AES");
    System.out.println("AES: " + maxAllowedKeyLength);
    return maxAllowedKeyLength >= 256;
} catch (NoSuchAlgorithmException e) {
    return false;
}

我认为这两种密码算法在JDK7中不支持但在Oracle文章中错误地提到了?

注意事项:

  • 如果我在JDK8中运行c0ode没有问题。
  • 我在防火墙后面,必须设置代理。但我不认为它相关,因为我可以毫无问题地在 JDK8 中连接。

【问题讨论】:

  • 有很多密码套件。为什么这两个特别是一个问题?
  • @EJP 不幸的是,主机只接受四个密码套装。其中两个在 JDK7 中完全不受支持,另外两个是我在帖子中提到的。 checkhere
  • 嗯,我确认你的结果,在 JDK 1.7.0_25 中对我不起作用,在 1.8.0 中也不起作用。

标签: ssl java-7


【解决方案1】:

“启用”密码列表的初始设置在完成任何剪裁之前在 SSLContextImpl.init 中计算,在 Java7 客户端中,初始协议列表只有 SSLv3 和 TLSv1(在最近的版本中 java.security 配置了 jdk.tls.disabledAlgorithms删除 SSLv3 因为 POODLE)所以这会禁用所有 TLSv1.2-only 密码,这是该服务器唯一同意的密码。这是实际握手开始之前跟踪中 Ignoring unsupported 消息的来源。

如果使用 HttpsURLConnection,您需要设置 both https.protocolshttps.cipherSuites(注意大写 S)sysprops。如果直接使用SSLSocket,您需要同时调用.setEnabledProtocols,包括(至少)TLSv1.2.setEnabledCipherSuites,包括(至少)您在 Q 中突出显示的密码套件之一,或者替换/包装工厂来执行等价的。

Java8 没有这个问题,因为它的客户端和服务器的默认协议列表是 SSLv3,TLSv1,TLSv1.1,TLSv1.2,同样是 jdk.tls.disabledAlgorithms 删除了 SSLv3

【讨论】:

  • 我使用 Spring Resttemplate 并使用 HttpsURLConnection 进行连接。只需使用缺少的密码套装设置 https.cipherSuites 即可解决问题。谢谢臀部。
猜你喜欢
  • 2019-12-05
  • 2022-11-10
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 2021-11-20
  • 1970-01-01
  • 2020-05-09
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode