Воздействие/риск при включении -DuseSunHttpHandler на Weblogic10.3.0

Question

Я разрабатываю приложение, которое обращается к стороннему сервису через прокси-сервер.

Мое приложение работает на Weblogic10.3.0, и я столкнулся с проблемой с исключением BAD_CERTIFICATE следующим образом.

javax.net.ssl.SSLKeyException: FATAL Alert:BAD_CERTIFICATE - A corrupt or unuseable certificate was received. 
    at com.certicom.tls.interfaceimpl.TLSConnectionImpl.fireException(Unknown Source) 
    at com.certicom.tls.interfaceimpl.TLSConnectionImpl.fireAlertSent(Unknown Source) 
    at com.certicom.tls.record.handshake.HandshakeHandler.fireAlert(Unknown Source) 
    at com.certicom.tls.record.handshake.HandshakeHandler.handleHandshakeMessages(Unknown Source) 
    at com.certicom.tls.record.MessageInterpreter.interpretContent(Unknown Source) 
    at com.certicom.tls.record.MessageInterpreter.decryptMessage(Unknown Source) 
    at com.certicom.tls.record.ReadHandler.processRecord(Unknown Source) 
    at com.certicom.tls.record.ReadHandler.readRecord(Unknown Source) 
    at com.certicom.tls.record.ReadHandler.readUntilHandshakeComplete(Unknown Source) 
    at com.certicom.tls.interfaceimpl.TLSConnectionImpl.completeHandshake(Unknown Source) 
    at com.certicom.tls.record.WriteHandler.write(Unknown Source) 
    at com.certicom.io.OutputSSLIOStreamWrapper.write(Unknown Source) 

Есть много советов онлайн говорят, что, добавив -DuseSunHttpHandler = истина поможет решить эту проблему, так как третья сторона повысила свои сертификаты (128bit до 256bit). Решение отлично работает, однако проблема заключается в том, что я не могу найти официальную статью, в которой четко сказано, что Certicom поддерживает только до 128 бит, и для ее решения нам необходимо включить JSSE, который, по моему мнению, используется SunHttpHandler.

Другая проблема здесь: «Известно ли влияние использования SunHttpHandler?» Я понимаю, что начиная с 10.3.3 или 10.3.5, Certicom будет устаревать и использовать JSSE по умолчанию, но обновление weblogic на данный момент не является опцией.

Answer 1

Microsoft и Google объявили SHA-1 планы устаревания, которые могут повлиять на веб-сайты с SHA-1 сертификатов истекает уже после 31 декабря, 2015.

Сертификаты могут быть созданы с помощью различных «алгоритмов хэширования», в том числе

1) SHA1: 160 бит хэш

2) SHA2: семейство из двух одинаковых хэш-функций с различными размерами блоков, известный как SHA-256 и SHA-512 (это более новый алгоритм)

До недавнего времени y, в WebLogic поддерживался только алгоритм SHA1. Но начиная с WebLogic 10.3.3 поддерживается также алгоритм SHA2.

Если вы хотите использовать сертификат с алгоритмом SHA2 хэш, то вам нужно будет включить JSSE SSL (который доверяет более сильные сертификаты, такие как УВХ2)

Oracle настоятельно рекомендуем вам обновить до последней WebLogic очередного обслуживания пакета и последний патч JDK, так как есть некоторые известные проблемы с JSSE SSL и более низкие пакеты обслуживания WebLogic и патчи Java. Вы должны использовать WebLogic 10.3.6 при минимальной

УВХ2 (SHA256 и т.д.) поддерживается с WebLogic 11g (10.3.6) на палатах, но сертификаты будут работать только с реализацией JSSE (-Dweblogic.security. SSL.enableJSSE = истина).

Вы можете проверить Часто задаваемые вопросы о SSL сертификаты на WebLogic на официальной документации выше на Oracle Metalink (support.oracle.com)