HttpClient的SSL证书的相关问题及解决方案 - 代码天地

HttpClient的SSL证书的相关问题及解决方案

其他 2018-06-21 16:27:41 阅读次数: 2

问题描述

访问某网站时服务器报出Algorithm constraints check failed on signature algorithm: MD2withRSA

这是因为在进行SSL握手时，服务器所采用的ssl证书算法不符合某种约束条件而抛出异常！

问题分析：

1. 查询网站证书信息

openssl s_client -showcerts -connect hostname:443

VeriSign（威瑞信）公司根证书的签名算法是md2WithRSAEncryption!

2. 为什么使用md2WithRSAEncryption会出异常？

由于MD2被广泛认为是不安全的，JDK6u17版本开始，MD2算法被禁用。打开$JAVA_HOME/jre/lib/security/java.security文件可以看到

可以肯定，必定是代码中对算法做了校验引起的。

3. JDK代码实现原理

代码中我们在初始化SSLContext的时候调用了loadTrustMaterial方法

进入loadTrustMaterial方法，此时tm是X509ExtendedTrustManager的子类，进入SSLContextBuilder类

trustManager被强转成父类X509TrustManager，最终被封装成了TrustManagerDelegate，TrustManagerDelegate实现了X509TrustManager接口。

继续跟踪到sun.security.ssl.SSLContextImpl

其中var1[var2]即TrustManagerDelegat对象，跳过判断，TrustManagerDelegate又被AbstractTrustManagerWrapper封装返回。

AbstractTrustManagerWrapper继承了X509ExtendedTrustManager实现了X509TrustManager接口

AbstractTrustManagerWrapper会对服务器的证书算法进行验证，检查它们是否符合java.security里的配置要求。

4. JDK修复方案

JDK1.7之后修改了SSLContext的实现，解决了上述的问题

定位sun.security.ssl.SSLContextImpl，默认var2为null，由var4.getTrustMangers初始化

var2是一个TrustManager对象的数组，内部元素是X509TrustManagerImpl实例。

X509TrustManagerImpl继承了X509ExtendedTrustManager

进入chooseTrustManager方法，最终返回X509TrustManagerImpl实例对象

X509TrustManagerImpl类没有对服务端做证书算法校验的方法，因此如果用法不对，还是会导致Certificates does not conform to algorithm constraints复现。

解决方案

方案一：

修改文件$JAVA_HOME/jre/lib/security/java.security，找到如下配置：

修改配置（或者直接注释）
jdk.certpath.disabledAlgorithms=
jdk.tls.disabledAlgorithms=

缺点：

1. 系统安全级别降低，JDK8提高了对SSL证书的算法安全要求
2. 线上所有服务器的JDK配置需要修改，如果增加新服务器也需要配置，维护麻烦

方案二：

自定义实现X509ExtendedTrustManager，JDK会使用TrustAnyTrustManager来验证证书算法，而这个类所有的验证方法都是空方法，也就是不验证。

缺点：

对服务端的证书无条件的信任是不安全的。

方案三：

我们选择JDK默认的实现方式

访问其他网站又出现PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target

这个错误的原因是因为服务端的证书机构不被客户端信任。值得信任的CA机构可以有效避免中间人攻击。

1. 通过openssl s_client -showcerts -connect hostname:443查询到CA机构是Symantec（赛门铁克）

2. 查询JDK默认信任的机构，测试类启动的时候加上命令-Djavax.net.debug=ssl,handshake，具体文件见$JAVA_HOME/jre/lib/security/cacerts

经查询之后发现Symantec不是JDK信任的机构。将Symantec添加到JDK的cacerts中即可解决问题。

猜你喜欢

转载自blog.csdn.net/ghaohao/article/details/79454913

HttpClient的SSL证书的相关问题及解决方案

Java.HttpClient绕过Https证书解决方案一

Java.HttpClient绕过Https证书解决方案二

phpsduty安装SSL证书，apache不能启动，解决方案

HttpClient 接口测试遇到的问题及解决方案

【解决方案】httpclient 4.3自定义 header问题

HttpClient忽略SSL证书

相关电脑问题的解决方案

NavMesh技术相关问题及解决方案

Git 相关问题及解决方案

Centos SSL 过期问题三个解决方案

HttpClient4.3 关于https 中SSL证书请求问题

（转）python requests 高级用法 -- 包括SSL 证书错误的解决方案

请求https前缀的网站验证SSL证书的解决方案之一

【解决方案】SSL证书报错：X509_check_private_key:key values mismatch

httpclient 跳过SSL证书校验

今天记录下httpClient发生的SSL认证问题（证书都是正确的却还是提示SSl认证失败）

ssl证书过期问题解决

SSL证书可以解决什么问题

Python爬虫：解决SSL证书验证问题

HttpClient大并发下Timeout waiting for connection from pool 问题解决方案

mvn test中httpClient debug日志打印问题解决方案

MySQL相关问题解决方案

AGS的相关项目的问题和解决方案

wmi 局域网的相关问题以及解决方案

kettle常见问题及相关解决方案

ajax跨域问题及相关解决方案

ElasticSearch教程——Search相关、deep paging问题及解决方案

实时计算相关问题及解决方案

java mail ssl 报错解决方案

今日推荐

基于大语言模型的开源知识库问答系统 MaxKB GitHub Star 数量突破 5,000 个！

美国拟限制 AI 大模型出口中国和俄罗斯

苹果将与 OpenAI 达成协议，将 ChatGPT 应用于 iPhone

openKylin 社区生态委员会第六次会议圆满召开

阿里云正式发布通义千问 2.5

Python 3.13 发布首个 Beta：实验性自由线程模式和 JIT、改进交互式解释器

Stack Overflow 拿我的代码去训练 AI 大模型，还封了我的账号

Pop!_OS 的 COSMIC 桌面完成 App Store 上架工作

《2024 年一季度互联网投融资运行情况》研究报告

报告：Django 仍然是 74% 开发者的首选

15 年前上了“FFmpeg 耻辱柱”，今天他还得谢谢咱——腾讯QQPlayer一雪前耻？

TIOBE 5 月榜单：Fortran “复活”进入 Top 10

周排行

记一下去大梅沙的准备（2018-05-26）

Spring 注解事务

基于HTTP协议的客户端缓存

阿里云rds 备份和还原

[PHP] 几个拖慢 PHP 程序/API 运行速度的点

python 代码风格------------PEP8规则

js控制json生成菜单——自制菜单（一）

将字符串: 'k:1|k1:2|k2:3|k3:4 ' ,处理成 python 字典: {'k':1, 'k1':2, ...}

微信小程序转支付宝小程序

Qt551.窗口滚动条

每日归档

更多

2024-05-13(18)

2024-05-12(0)

2024-05-11(38)

2024-05-10(38)

2024-05-09(35)

2024-05-08(42)

2024-05-07(14)

2024-05-06(40)

2024-05-05(0)

2024-05-04(7)