我的客户端 java -version 是 1.7.0_85 并且服务器版本低于此。当客户端版本较低时,通信会正常进行。但是自从更新以来,我收到了 handshake_failure 错误。在为服务器触发 openssl 命令时,它说密码是最新更新中的 RC4-SHA RC4 默认情况下被禁用。无法更新不受我控制的服务器,我应该如何使用 java.security 中的属性建立通信 文件
【问题讨论】:
您可以查看 java.security 中 jdk.tls.disabledAlgorithms 参数的值,然后从该值列表中删除 RC4。
与其保留此更改并使客户端不安全,不如与服务器操作员一起打开并行线程以让他们修复其 SSL 设置,这将是一个更好的选择。
我想重复一下JRE release notes 关于 RC4 使用的陈述(重点是我的)。
区域:security-libs/javax.net.ssl
概要:禁止 RC4 密码套件
RC4 现在被认为是被泄露的密码。 RC4 密码套件有 已从客户端和服务器默认启用的密码套件中删除 Oracle JSSE 实现中的列表。这些密码套件仍然可以 由 SSLEngine.setEnabledCipherSuites() 和 SSLSocket.setEnabledCipherSuites() 方法。
请参阅 JDK-8077110(未公开)。
【讨论】: