Java加密套件强度限制引起的SSL handshake_failure

最新推荐文章于 2025-04-21 18:09:30 发布
原创 最新推荐文章于 2025-04-21 18:09:30 发布 · 3.7k 阅读 · 9 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #ssl

本文记录了使用Java的HttpURLConnection访问HTTPS系统时遇到的handshake_failure错误的诊断过程。从检查本地JRE证书、对比浏览器请求到使用OpenSSL调试,最终发现问题是由于JRE默认加密套件不支持服务器所需的TLS_RSA_WITH_AES_256_GCM_SHA384。解决方案是更新JCE政策文件以启用不受限制的加密强度。

通过Java代码使用HttpURLConnection去连接https系统时候总是报错handshake_failure。而使用浏览器访问一切正常。记录下诊断的过程。

HttpURLConnection的调用非常简单。

  
HttpURLConnection connection =
		(HttpURLConnection)m_url.openConnection();

connection.setRequestMethod("GET");
connection.setAllowUserInteraction(false);
connection.setDefaultUseCaches(false);
connection.setDoInput(true);
connection.setDoOutput(false);
connection.setInstanceFollowRedirects(true);
connection.setUseCaches(false);
connection.connect(); <----- handshake error

错误也很抽象。

  
javax.net.ssl.SSLHandshakeException: Received fatal alert: handshake_failure
	at sun.security.ssl.Alerts.getSSLException(Unknown Source)
	at sun.security.ssl.Alerts.getSSLException(Unknown Source)
	at sun.security.ssl.SSLSocketImpl.recvAlert(Unknown Source)
	at sun.security.ssl.SSLSocketImpl.readRecord(Unknown Source)
	at sun.security.ssl.SSLSocketImpl.performInitialHandshake(Unknown Source)
	at sun.security.ssl.SSLSocketImpl.startHandshake(Unknown Source)
	at sun.security.ssl.SSLSocketImpl.startHandshake(Unknown Source)
	at sun.net.www.protocol.https.HttpsClient.afterConnect(Unknown Source)
	at sun.net.www.protocol.https.AbstractDelegateHttpsURLConnection.connect(Unknown Source)
	at sun.net.www.protocol.https.HttpsURLConnectionImpl.connect(Unknown Source)
	at com.agile.common.HttpReader.getInputStream(HttpReader.java:76)

初步怀疑本地的JRE证书信任文件中没有包含对方服务器的根证书。

  
keytool -list -v -keystore "C:\Java\jdk1.8.0_152\jre\lib\security\cacerts" >store.txt

检查发现,根证书和中间证书都存在,信任链没有问题。

  
## 中间证书
Alias name: comodorsaca [jdk]
Creation date: 25 Aug, 2016
Entry type: trustedCertEntry

Owner: CN=COMODO RSA Certification Authority, O=COMODO CA Limited, L=Salford, ST=Greater Manchester, C=GB
Issuer: CN=COMODO RSA Certification Authority, O=COMODO CA Limited, L=Salford, ST=Greater Manchester, C=GB
Serial number: 4caaf9cadb636fe01ff74ed85b03869d
Valid from: Tue Jan 19 05:30:00 IST 2010 until: Tue Jan 19 05:29:59 IST 2038
Certificate fingerprints:
	 MD5:  1B:31:B0:71:40:36:CC:14:36:91:AD:C4:3E:FD:EC:18
	 SHA1: AF:E5:D2:44:A8:D1:19:42:30:FF:47:9F:E2:F8:9
最低0.47元/天 解锁文章
Java证书安装及多个Java应用间的根证书交叉信任
Mrs_haining的博客
04-26 1551
在一套Java产品环境中,常常会存在不同的Java应用,相互之间会通过HttpClient模拟HTTP访问对方,这时就涉及到浏览器所不会用到的特殊的过程:根证书的交叉信任。最后面会讲为什么浏览器和Java应用服务器的通信不需要交叉导入根证书(公钥)。 制作密钥库文件 假设有2Java应用, app1和app2,用户访问的地址为https://app1.xwiz.cn 和 https://app2.xwiz.cn。首先分别为这两个主机应用创建密钥库JKS和证书请求CSR keyto.
罗剑锋透视HTTP协议学习笔记---26 | 信任始于握手:TLS1.2连接过程解析
James的博客
04-23 1329
26 | 信任始于握手:TLS1.2连接过程解析 TLS的几种子协议及结构 记录协议(Record Protocol),相当于是一个消息容器,承载其它协议,它包括一个TVL,描述其承载的其它协议 如上图,这是一个Server Hello消息,一条TLS报文,包含了4条TLS handshake Protocol 警报协议(Alert Protocol) 握手协议(Handshake Protocol), type=22,wireshark 中过滤条件tls.record.content_type22或t
更换SSL证书认证问题--代码版
用优雅的代码铺通往成功的路
07-13 1254
最近服务器的SSL证书到期了,需要更换. 然后更换之后,请求其他接口的时候,有一个报错. javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuil
Received fatal alert: handshake_failure
qq_33665655的博客
04-21 1113
从后端请求第三方的提供的https接口,一直提示握手失败javax.net.ssl.SSLHandshakeException: Received fatal alert: handshake_failure,但api放到浏览器直接访问是没问题的,这也证明了人家提供的api可用性。我发起请求的客户端是jdk8版本,我试着请求其他平台https接口,能获取到数据,又证明了我代码是没问题了。对方的协议是TLS1.3而我发起的客户端基于jdk8发起的,以下是jdk各版本支持的协议。我maven引入该依赖包。
javax.net.ssl.SSLHandshakeException: (handshake_failure) Received fatal alert: handshake_failure
最新发布
08-08
在处理 `javax.net.ssl.SSLHandshakeException: Received fatal alert: handshake_failure` 异常时,通常与 SSL/TLS 握手失败有关,可能是由于协议版本不兼容、加密套件不匹配或缺少必要的安全策略文件等原因导致。...
# JDK6访问https服务出现的Received fatal alert: handshake_failure及连带的protocol_version问题
weixin_43300285的博客
09-16 1423
JDK6访问https服务出现的Received fatal alert: handshake_failure及连带的protocol_version问题
Received fatal alert: handshake_failure; nested exception is javax.net.ssl.SSLHandshakeException: Received fatal alert: handshake_failure
07-31
Java 1.8 的某些版本默认对加密强度限制,可能无法支持某些加密套件。可以尝试更新到最新的 Java 1.8 版本或者安装 **Java Cryptography Extension (JCE) Unlimited Policy Files**。 下载地址:[Oracle 官方网站...
Java Eclipse从SVN拉取代码报错SSL handshake failed: SSL error: tlsv1 alert protocol version
一个标题
09-27 1463
Java开发 Eclipse从SVN拉取代码报错SSL handshake failed: SSL error: tlsv1 alert protocol version
javax.net.ssl.SSLHandshakeException: Received fatal alert: handshake_failure 解决方案
qq_38472574的博客
05-07 726
javax.net.ssl.SSLHandshakeException: Received fatal alert: handshake_failure 解决方案
java 请求https 握手失败_记一次https访问握手失败(handshake failure
weixin_33268205的博客
02-16 1542
那么基本可以排除不是证书的问题了,而且把curl的verbose/debug模式打开也看到,ssl认证是ok的,如下* Connected to cdn.example.com (52.222.238.79) port 443 (#0)* Initializing NSS with certpath: sql:/etc/pki/nssdb* CAfile: /etc/pki/tls/certs...
java 请求https 握手失败_https握手失败案例(一)
weixin_35895056的博客
02-16 1303
OkHttpClient okHttpClient = new OkHttpClient.Builder().connectTimeout(15, TimeUnit.SECONDS).readTimeout(15, TimeUnit.SECONDS).writeTimeout(15, TimeUnit.SECONDS).addNetworkInterceptor(new StethoInterce...
java mail Received fatal alert: handshake_failure
mstliu的博客
10-22 807
dk里面有一个jce的包,安全性机制导致的访问https会报错,官网上有替代的jar包,换掉就好了 包在这里 http://www.oracle.com/technetwork/java/javase/downloads/jce-7-download-432124.html 目录 %JAVA_HOME%\jre\lib\security里的local_policy.jar,US_expor
解决 javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX 路径构建失败
热门推荐
agoin__的博客
11-21 1万+
处理javax.net.ssl.SSLHandshakeException的 SSL 握手失败问题
java邮件发送不成功_(转)解决jdk1.8中发送邮件失败(handshake_failure)问题
weixin_33664286的博客
02-26 2536
暑假在家做一个类似知乎的问答型网站(代码可见:Github/wenda 喜欢的可以给个star或者自己fork然后修改,目前功能还未很完善),其中有一个站内邮件通知系统(这里简单的讲一个例子:如果用户登录的时候出现异常,那么就会通过邮件发送通知用户)。然而却碰到一个问题。问题错误信息如下:发送邮件失败Mail server connection failed; nested exception i...
JAVA client https请求报错:Received fatal alert: protocol_version和handshake_failure问题处理过程记录
junch_wuhan的专栏
03-08 8840
问题背景 1、老的项目,正式环境为Linux环境,使用IBM-jdk,因使用的用户不多,因此客户方没有使用WAS(没有购买WAS) 2、后续扩展开发接口需要调用第三方系统的https接口,2020年3月上线时,该接口可以正常调用第三方的https接口服务;2020年6月第三方系统的证书过期了,后来更换了新的厂商的安全证书,导致原来的接口无法调用第三方的https接口服务。报错为:javax.net.ssl.SSLException:Receivedfatalalert:protocol_vers...
java 1.1.8.2,带有Java 7和Wildlfy 8的TLSv1.2-handshake_failure
weixin_42547431的博客
02-16 346
In our application we need send some data to foreign customer server web service JAX-WS. I generated required client files from WSDL with using wsimport. Then I tried connect to server side web servic...
HTTPS 发送请求出现TLS握手失败
阿信今天的代码没bug的博客
07-07 1911
我本人对这个方面的研究不深,到达了我的知识盲区,刚好身边有个博士做过这方面的研究,他所在的团队实现了TLS1.3的一个版本,对这个非常熟悉,请他看了一下日志,可以判断,也是缺少椭圆曲线;两者对比可以发现,服务端选择了TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384加密套件,正常请求是有这个套件的,而失败的请求是没有这个套件的;经过了一天的努力,终于发现了问题所在,之前有个哥们不知道因为什么原因,把SUN公司的ECC曲线都删掉了,导致了问题;从网上找了写方法,都没有解决;
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值