最近碰到的一些 SSL 问题记录

最新推荐文章于 2025-07-24 10:04:39 发布
转载 最新推荐文章于 2025-07-24 10:04:39 发布 · 265 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/hehe520/p/6147586.html
文章标签:

#移动开发 #java #网络

本文介绍了如何解决Android6.0设备上出现的SSL连接问题及升级到JDK8后遇到的iOS推送服务SSL连接失败的问题。通过调整服务器侧的P参数长度解决了Android6.0的SSL握手失败,并通过转换证书格式解决了iOS推送服务的SSL连接问题。

最近碰到一些 SSL 的小问题,特记录下。

我们有个 Java 实现的 SSL TCP 服务端,为客户端(PC、Android 和 iOS)提供 SSL 接入连接服务。最近有用户反馈其手机上 App 不能正常连接登录,别人手机上都可以。经过单独回访调查该用户使用的手机操作系统是 Android 6.0,经搜索了解了 Android 6.0 之后 Google 使用了自家的 BoringSSL 替换了原来的 OpenSSL,怀疑是这里在捣鬼。

继续搜索类似问题解决方案,在参考[1] 中找到答案:

SSL/TLS握手过程中,假如选中了诸如 TLS_DHE_RSA_WITH_AES_128_CBC_SHA 这样使用 deffie-hellman 密钥的 cipher,那么在 deffie-hellman 密钥交换过程中会使用的一个P参数(prime number),服务器侧提供的 P 参数在 JDK8 之前都只用了 768bit 的长度,小于 1024bit 存在安全漏洞可导致 logjam attack,会被最新本版的浏览器和 BoringSSL 拒绝。

明了了原因后我们只好把 JDK 从 6 升级到了 8,顺利解决 Android6.0 SSL 握手失败问题。但解决完这个后,没多久又发现 APNS iOS 推送又不可用了,和苹果推送服务器建立 SSL 连接失败,无法推送消息。唯一的变化就是升级到了 JDK8 自然就将怀疑目标对准了 JDK8。

继续 Google 一把找了同类受害者,他已经搞明白了原因,见参考[2]

The problem was the exported keystore (in PKCS12 format) contained the private key as well as the production certificate and the development certificate for push notifications. Java can use keystores in the PKCS12 format. But Java 6 and Java 8 did not read-in the keystore the same way. It looks like Java 6 read in the production certificate for the private key and Java 8 read in the development certificate.

解决办法也很简单,先用 JDK6 提供的 keytool 将 .p12 格式的证书转换为 .jks 格式。再用 JDK8 提供的 keytool 将刚生成的 .jks 证书转换为 .p12 格式。转换命令如下:

.p12 -> .jks
/JDK6/keytool -importkeystore -destkeystore apns.jks -srckeystore apns_jdk6.p12 -srcstoretype PKCS12

.jks -> .p12
/JDK8/keytool -importkeystore -srckeystore apns.jks -srcstoretype JKS -deststoretype PKCS12 -destkeystore apns_jdk8.p12

参考

[1] liuxian233. Android 6.0 HTTPS连接ssl3_get_server_key_exchange:BAD_DH_P_LENGTH错误问题
[2] szediwy. Apple Push Notification with Java
[3] ASHISH PARAB. APPLE PUSH NOTIFICATION SERVICE CERTIFICATE ISSUE WITH JDK 7

写点文字,画点画儿,「瞬息之间」一切都变了。觉得不错,扫描二维码关注。
这里写图片描述

转载于:https://www.cnblogs.com/hehe520/p/6147586.html

记录ssl证书验证不通过导致后台调用接口出现问题
zy_ok的博客
10-01 2400
最近搞了一个卡密授权接口,使用派api框架。出现问题ssl验证无法通过,报错curl: (60) SSL certificate problem: unable to get local issuer certificate,原因是Let's Encrypt因更换根证书,部分老旧设备访问时可能提示不可信。 接口执行流程如下: 1.通过curl向卡密验证接口提交卡密 $keyapi = json_decode($curl->get('https://api.msdnxz.com/?s=App.K
SSLError
YOYO的博客
11-10 1015
python: 2.7 requests: 2.19.1 最近需要向第三方发送https请求爬取数据,需要绕过SSL,但是在此过程中发生了如下错误: requests.exceptions.SSLError: (“bad handshake: SysCallError(-1, ‘Unexpected EOF’)”,) 原因: R...
SSL常见错误及解决方法
weixin_53018687的博客
04-27 6953
SSL证书可以对网站传输数据进行加密处理,有效保护用户信息,目前已被各企业网站广泛应用。但是在安装SSL过程中,很多人都会遇到一些常见问题。这里为大家介绍下常见的SSL问题以及相应的解决方法。 1.此网站出具的安全证书不是由受信任的证书颁发机构颁发的 这是由于服务器正在使用的SSL证书,并非浏览器信任的CA机构颁发。可以在浏览器的“工具-Internet选项-内容-证书”中查看浏览器信任的证书颁发机构。 2.网站证书已过期或还未生效 浏览器出现这种提示一般有两种情况,一种是电脑系统日期设置错误,另.
网站ssl证书错误是为什么?要怎么解决ssl证书错误
蔚可云的博客
08-10 3635
在时下这一迅速发展趋势的时期,互联网涉及面愈来愈普遍,PC/移动互联网针对网络信息安全的维护愈来愈苛刻。现如今信息已变成公司发展的根基,传统式http慢慢被销售市场取代,愈来愈多的客户挑选安裝SSL证书,把信息的传送全过程做好数据加密。殊不知客户在应用全过程中,愈来愈多的有关ssl证书错误状况出現,例举了一些平台网站SSL证书普遍的错误,及其处理对策,想要能够有一定的协助。 下边是小结的平台网站用ssl证书错误的缘故及相匹配对策 ssl错误一:平台网站SSL证书并不是权威部门授予。 缘故一:一些S
SSL证书7大常见错误及解决办法!
oldboyedu1的博客
11-02 1871
解决办法:当提交通配符证书订单时,请确认域名是*.domain.com这种格式,*号不可省略,否则会收到错误提示:无效的域名格式。使用邮箱验证:首先确保您使用的是网站管理员邮箱,即任选以下前缀的邮箱:admin@域名,administrator@域名,webmaster@域名,hostmaster@域名,postmaster@域名。使用文件验证:请到域名的根路径上新建指定的路径并放置验证内容,请确认添加的路径和放置的内容与订单信息中提供的内容相匹配,并确保该路径链接可以公开访问。解决办法:重新生成CSR。
SSL 证书错误:如何修复以及错误发生的原因
web_geek的博客
07-11 1万+
要确认您的网站已安装SSL证书,一种方法是使用浏览器访问您的网站并查看地址栏。如果您的网站主机在主机提供商上并且有SSL错误,可能是因为没有Whois电子邮件连接到您的网站。导致SSL证书错误的因素有很多,包括证书过期、服务器配置错误、域名不匹配以及由不受信任或未知的证书颁发机构签发的证书。然而,如果您的SSL证书出现错误,您可能会得到一个“不安全”的标签,这可能会导致访问者失去对您网站的信任并转向竞争对手。如果证书是自签名的,它是由您的服务器生成的,而不是由证书颁发机构生成的。不同服务器的过程有所不同。
精选资源
SSL排错记录.pdf
04-23
但是,我可以根据文件标题《SSL排错记录.pdf》为您详细介绍关于SSL排错的相关知识点。 SSL(Secure Sockets Layer)安全套接层协议是一种广泛使用的互联网安全协议,用于在客户端和服务器之间进行数据传输时加密...
阿里云服务器apache配置SSL证书成功开启Https(记录趟过的各种坑)
09-30
配置SSL证书的过程中,通常会遇到各种问题,作者在实践中申请了两个不同机构的证书,第一个证书申请失败,第二个证书申请成功。这可能跟申请机构的审核严格程度有关,也可能是申请过程中的某个环节出现了问题。 ...
记录一次在生产环境中更换 SSL 证书的操作
XuanRan的博客
11-25 9324
本文将记录一次在生产环境中更换 SSL 证书的过程,包括准备工作、遇到的问题和解决方案,以及如何重启和重新加载 Nginx 服务以使更改生效。
SSL证书记录
Eric.zhong
06-25 600
文章目录证书概述证书区别发行方差异适用场景 证书概述 SSL证书(SSL Certificates)为网站和移动应用(APP)及小程序提供数据HTTPS加密协议访问,保障数据的安全。装载SSL证书产品后自动激活浏览器中显示“锁”型安全标志,地址栏以“https”开头。当前有几种不同类型的证书,他们分别是DV、OV、EV。简要介绍如下: DV SSL 证书:由于无需人工干预(无需人工做身份验证),并且无需等待 3-5 天,10分钟就自助颁发而得到证书,因此它的安全性与价格一样都很低。这种SSL证书完全失去了
OpenSSL SSL连接错误排查与解决方案
最新发布
勤奋的码农
07-24 1197
SSL/TLS连接故障解决方案 本文针对OpenSSL常见错误(如errno=10054、unable to get local issuer certificate等)提供系统化解决方案。核心问题包括:证书链断裂、网络中断、协议不兼容等。关键修复步骤:合并证书链、检查防火墙、升级OpenSSL、启用OCSP装订。文中提供openssl命令验证方法,并警告避免禁用证书验证等危险操作。最佳实践建议采用TLS 1.3、自动化证书管理,并附常见问题速查表。所有方案均通过生产环境验证,强调安全应基于理解错误本质而非
ssl证书认证失败的原因和解决办法
a38417的博客
02-29 5463
证书不受信任:如果服务器使用的SSL证书不是由受信任的证书颁发机构(CA)签发的,浏览器会将其视为不受信任的证书,从而阻止访问。证书链不完整:当浏览器检查SSL证书时,它会检查证书链的完整性。确认证书来源:确保服务器上的SSL证书是由受信任的CA签发的。完善证书链:确保服务器上的SSL证书具有完整的证书链。配置错误:服务器配置错误,如错误的证书文件路径或错误的密钥文件路径,也可能导致SSL证书认证失败。如果证书过期,需要更新证书。证书过期:SSL证书有一定的有效期,一旦过期,就会导致认证失败。
Windows服务器中防御LOGJAM攻击与Sweet32攻击
【优快云】
03-08 4380
Windows服务器中防御LOGJAM攻击与Sweet32攻击https://www.cnblogs.com/masahiro/p/15272066.html LOGJAM 攻击是一个 SSL/TLS 漏洞,允许攻击者拦截易受攻击的客户端和服务器之间的 HTTPS 连接, 并强制它们使用“导出级”加密,然后可以对其进行解密或更改。发现网站支持 DH(E) 导出密码套件, 或使用小于 1024 位的 DH 素数或最大 1024 位的常用 DH 标准素数的非导出 DHE 密码套件时,会发出 此漏洞警报。 S
TLS/SSl相关的攻击漏洞及检测方法大杂烩!
qq_50854662的博客
08-15 5058
TLS/SSl相关的攻击漏洞及检测方法大杂烩!
SSL/TLS攻击介绍--重协商漏洞攻击
海米一枚
01-05 4041
SSL/TLS重协商漏洞攻击
TLS/SSL Sweet32 attack 、TLS/SSL Weak Cipher Suites漏洞检测及修复
qq274575499的博客
04-03 6909
TLS/SSL Sweet32 attack 、TLS/SSL Weak Cipher Suites漏洞
SSL/TLS LogJam中间人安全限制绕过漏洞 (CVE-2015-4000)
hongweibing1的专栏
11-21 1万+
详细描述 TLS是安全传输层协议,用于在两个通信应用程序之间提供保密性和数据完整性。  TLS 1.2及更早版本,在服务器上启用但不在客户端启用DHE_EXPORT密码组时,没有正确转送DHE_EXPORT选择,中间人攻击者通过用DHE_EXPORT代替DHE,重写ClientHello,然后用DHE代替DHE_EXPORT,重写ServerHello(即"Logjam"问题),利用此
SSL/TLS的bad record MAC问题排查
热门推荐
gufachongyang02的专栏
08-12 3万+
SSL/TLS的bad record MAC问题排查
怎么排除ssl证书问题
12-29
### 如何排查和解决 SSL 证书问题 #### 理解 SSL 证书的作用及其常见问题 SSL 证书作为加密协议,保障用户与网站间的数据传输安全。当浏览器访问受 SSL 保护的站点时,会验证此证书的有效性。一旦发现证书存在问题,比如过期或不匹配等情况,就会触发诸如“[There was a problem confirming the ssl certificate]”这样的警告信息[^1]。 #### 浏览器端 SSL 错误处理方法 对于遇到上述错误提示的情况,建议采取如下措施来诊断并修复潜在的问题: - **更新浏览器版本**:有时特定版本可能存在已知漏洞或是对某些类型的 SSL/TLS 协议支持不佳。 - **清除缓存及Cookie**:旧有的连接记录可能干扰新请求的成功建立。 - **手动添加例外情况**:针对自签名或其他不受信任源签发的证书,在充分了解风险的前提下可考虑临时接受这些异常状况继续浏览。 #### Nginx 配置中的 SSL 设置调整 在 Ubuntu 上通过 Nginx 提供 HTTPS 访问服务的过程中,若遭遇 `SSL handshake failed` 的报错现象,应着重审查配置文件内的 SSL 参数设定是否恰当。具体来说就是确认 `ssl_certificate` 和 `ssl_certificate_key` 指向的是实际存在的、有效的公钥/私钥配对文件位置,并且权限设置允许 Web Server 进程读取它们的内容[^2]。 ```nginx server { listen 443 ssl; server_name example.com; ssl_certificate /etc/nginx/certificates/example_com.crt; ssl_certificate_key /etc/nginx/certificates/example_com.key; } ``` #### Java 应用程序环境下的 SSL 证书管理 为了使基于 JVM 构建的应用能够顺利发起带有客户端身份验证需求的安全 HTTP 请求,需确保目标主机所提供的 CA 或者直接颁发给对方的服务端实体所持有的 X.509 数字凭证已被加入到本地的信任库中去。这通常涉及到从远程获取 .cer 文件再利用 keytool 工具将其安装至 JRE 安装目录下 cacerts keystore 中的操作过程[^3]。 ```bash keytool -importcert -file Root.cer -alias rootca -keystore $JAVA_HOME/jre/lib/security/cacerts ```
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符  | 博主筛选后可见
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值