SSLv2Hello - javax.net.ssl.SSLException: получено фатальное предупреждение: unexpected_message

Question

Я пытаюсь вызвать защищенную SSL веб-службу, запущенную на JDK7/WildFly 8.2, с помощью клиента на базе Java 6 (обновление 31).

Первая проблема, которую я столкнулся на клиенте был:

javax.net.ssl.SSLException: Получен фатальным предупреждение: unexpected_message

Устанавливая javax.net.debug к all с обеих сторон, я получил следующий намек на стороне сервера:

javax.net.ssl.SSLHandshakeException: SSLv2Hello отключена

Краткое исследование shows что

SSLv2Hello отключен по умолчанию на клиенте: В Java SE 7, SSLv2Hello удаляется из списка протоколов по умолчанию включен на клиенте.

Так что я попытался включить SSLv2Hello на WildFly в standalone.xml:

<https-listener name="https" 
       socket-binding="https" 
       security-realm="UndertowRealm" 
       enabled-protocols="SSLv2, SSLv2Hello, TLSv1, TLSv1.1, TLSv1.2" 
       /> 

И результат на сервере:

javax.net.ssl.SSLHandshakeException: Нет соответствующий протокол (протокол отключен или блокировки шифров неуместны)

Так я понимаю, я должен пытаться заставить TLS на клиента вместо включения SSLv2Hello на сервере. Я попытался установить System.setProperty("https.protocols", "TLSv1"); перед вызовом веб-службы без эффекта.

Что мне нужно настроить и как, чтобы получить рукопожатие?

Я напечатал поддерживаемые шифры от значения по умолчанию SSLSocketFactory на сервере:

TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA, 
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, 
TLS_RSA_WITH_AES_128_CBC_SHA, 
TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA, 
TLS_ECDH_RSA_WITH_AES_128_CBC_SHA, 
TLS_DHE_RSA_WITH_AES_128_CBC_SHA, 
TLS_DHE_DSS_WITH_AES_128_CBC_SHA, 
TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA, 
TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA, 
SSL_RSA_WITH_3DES_EDE_CBC_SHA, 
TLS_ECDH_ECDSA_WITH_3DES_EDE_CBC_SHA, 
TLS_ECDH_RSA_WITH_3DES_EDE_CBC_SHA, 
SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA, 
SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA, 
TLS_ECDHE_ECDSA_WITH_RC4_128_SHA, 
TLS_ECDHE_RSA_WITH_RC4_128_SHA, 
SSL_RSA_WITH_RC4_128_SHA, 
TLS_ECDH_ECDSA_WITH_RC4_128_SHA, 
TLS_ECDH_RSA_WITH_RC4_128_SHA, 
SSL_RSA_WITH_RC4_128_MD5, 
TLS_EMPTY_RENEGOTIATION_INFO_SCSV 

Answer 1

Вы могли бы включить протокол SSLv2 на JVM, но это крайне нежелательно, потому что это серьезная угроза безопасности.

Клиенты используют устаревший и небезопасный протокол и должны обновляться до TLSv1.1 или TLSv.1.2. Для этого потребуется хотя бы Java 7, но Java 8 будет лучше, как сказал Роберт.

Дополнительная информация может быть найдена по адресу https://blogs.oracle.com/java-platform-group/entry/diagnosing_tls_ssl_and_https, включая таблицу поддерживаемых протоколов TLS по версии.

Answer 2

Вам не нужно включать SSLv2 на сервер.Вам нужно отключить SSLv2Hello псевдо -Протокол на клиента, путем удаления SSLv2Hello из включенных протоколов TLS и оставляя другие:

System.setProperty("https.protocols", "TLSv1,TLSV1.1,TLSV1.2"); 

и, возможно, SSLv3, если это делает его счастливым: это будет не намного дольше, поэтому постарайтесь не делать этого.

Обратите внимание, что это псевдо-протокол. Это не SSLv2, это мера совместимости, позволяющая некоторым, возможно, сломанным серверам, принять привет. Однако сеанс работает на SSLv3 или выше. Он также устарел.