不安全的 SSL：主机名验证功能被禁用与修复方案

原创

于 2025-07-16 22:09:19 发布 · 1.3k 阅读

5 ·

CC 4.0 BY-SA版权

文章标签：

#安全 #ssl #网络协议

问题描述

主机名验证（Hostname Verification） 是 SSL/TLS 连接中的关键安全机制，用于验证服务器证书中的域名（Subject Alternative Name 或 Common Name）是否与客户端请求的目标主机名一致。禁用此功能会导致以下风险：

中间人攻击（MITM）：攻击者可伪造证书，冒充合法服务器窃取数据。
身份伪造：恶意服务器可通过无效证书欺骗客户端。
合规性违规：违反 PCI-DSS、GDPR 等安全标准。

禁用主机名验证的常见场景

开发/测试环境：为方便测试自签名证书，临时关闭验证。
老旧代码库：使用过时的 HTTP 客户端库（如早期 Apache HttpClient）。
错误配置：自定义 TrustManager 或 HostnameVerifier 时未严格校验。
忽略警告：开发者忽略证书错误（如 SSLPeerUnverifiedException）。

修复方案：启用主机名验证

通用原则

永远不在生产环境禁用主机名验证。
测试环境使用有效证书（如 Let's Encrypt）或配置受信任的本地 CA。

代

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

zqmattack

关注关注

27
点赞
踩
5

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
打赏
打赏
打赏举报

举报

（一）Kafka 安全之使用 SSL 的加密和身份验证

流华追梦的专栏

06-18

2226

SSL（Secure Sockets Layer）是一种网络协议，提供了一种在客户端和服务器之间建立安全连接的方法。启用 SSL 后，Kafka 集群中的所有数据传输，包括生产者、消费者与 Broker 之间的消息交互都会被加密，确保敏感信息在网络传输过程中不被窃听或篡改。

Minecraft Forge开发环境中SSL证书验证失败，如何解决？

**My Coding Family**

08-03

1285

🏆本文收录于《全栈Bug调优(实战版)》专栏，该专栏专注于分享我在真实项目开发中遇到的各类疑难Bug及其深层成因，并系统提供高效、可复现的解决思路和实操方案。无论你是刚入行的新手开发者，还是拥有多年项目经验的资深工程师，本专栏都将为你提供一条系统化、高质量的问题排查与优化路径，助力你加速成长，攻克技术壁垒，迈向技术价值最大化与职业发展的更高峰🚀！

参与评论您还未登录，请先登录后发表或查看评论

浅谈https与主机名验证

11-29

浅谈https与主机名验证，轻松搞定私钥验证

如何解决 HostnameVerifier 不安全的问题？

小洋人最happy的专栏

10-31

3万+

问题引入 App提交Google Play时，审核被拒，打回，信息如下：本文面向的是在应用中采用不安全的 HostnameVerifier 接口实施方式的开发者。在与使用 [setDefaultHostnameVerifier](https://docs.oracle.com/javase/7/docs/api/javax/net/ssl/HttpsURLConnection.html#set...

OKHTTP 忽略https验证

cn_yaojin

04-16

844

package com.cn.util; import javax.net.ssl.*; import java.security.KeyStore; import java.security.SecureRandom; import java.security.cert.X509Certificate; import java.util.Arrays; public class SSLSocketClient { public static SSLSocketFactory ge.

总结：使用JDK原生HttpsURLConnection，封装HttpsUtil工具类，加载自定义证书验证，忽略ssl证书验证

weixin_48033662的博客

02-14

1093

【代码】总结：使用JDK原生HttpsURLConnection，封装HttpsUtil工具类，加载自定义证书验证，忽略ssl证书验证。

如何使用CertCrunchy从SSL证书中发现和识别潜在的主机名称

FreeBuf_的博客

05-11

899

CertCrunchy是一款功能强大的网络侦查工具，该工具基于纯Python开发，广大研究人员可以利用该工具轻松从SSL证书中发现和识别潜在的主机信息。由于该工具基于Python 3开发，因此我们首先需要在本地设备上安装并配置好最新版本的Python 3环境。需要注意的是，如果你想要使用Censys.io的话，你可能还需要注册一个API密钥。-T：设置运行线程数量，可以提升工具运行速度，但不要设置太多线程；-O：设置HTTP API请求的超时时间，单位为秒，默认为3秒；-o：指定输出文件名称；

Spring Data Cassandra enable ssl hostname verification

zhangmingleon的专栏

05-23

2050

现在spring data cassandra是不能通过一个开关直接开启ssl的hostname verification的,也就是所谓的verify-full,所以得自己改下代码. 方案1: implementsCqlSessionBuilderCustomizer import com.datastax.oss.driver.api.core.CqlSessionBuilder; import org.springframework.beans.factory.annotation.Autow.

cl-plus-ssl:Lisp到OpenSSL的常见绑定

03-07

CL-Plus-SSL允许开发者遵循安全的最佳实践，如禁用已知不安全的协议版本（如SSLv2和SSLv3），使用强密码学算法，以及正确处理证书验证错误。开发者应时刻关注OpenSSL的安全更新，并确保CL-Plus-SSL库始终是最新的，...

【愚公系列】《网络安全应急管理与技术实践》 005-网络安全应急技术与实践（黑客入侵技术）

热门推荐

时光隧道

02-06

10万+

WHOIS查询是一种用于确定域名或IP地址的所有者和注册信息的公共数据库查询服务。使用WHOIS查询，您可以查找域名的注册商、注册日期、到期日期、域名所有者的联系信息以及域名服务器等相关信息。WHOIS协议通常使用TCP端口43进行通信。请注意，由于WHOIS是公开数据库，因此某些敏感信息（例如个人联系信息）可能会被隐藏或保护，以保护个人隐私。

tcp ssl java,Java SSL：“严重错误：80：...正在展开网络记录”添加HTTPS EndpointIdentificationAlgorithm之后...

weixin_39531037的博客

02-22

649

Java 7u9Error msg in title is: "fatal error: 80: problem unwrapping net record". SO wouldn't let me put "problem" in the title.I am building a Java HTTPS client against Netty. The SSL handshake was ...

【sonar】sonar:默认的扫描规则

coolcoffee168的专栏

07-14

1万+

转自https://www.cnblogs.com/gcgc/p/11451125.html https://blog.youkuaiyun.com/liumiaocn/article/details/83550309 https://note.youdao.com/ynoteshare1/index.html?id=3c1e6a08a21ada4dfe0123281637e299&type=note https://blog.youkuaiyun.com/liumiaocn/article/details/..

SSL/TLS协议详解以及配置实战

swadian2008的博客

04-17

1万+

SSL/TLS协议是一种安全通信协议，用于在计算机网络上保护数据传输的机密性、完整性和身份验证。SSL代表安全套接字层（Secure Socket Layer）TLS代表传输层安全性（Transport Layer Security），它是SSL的继任者。// 实际上还是非对称加密的算法客户端发送一个SSL/TLS连接请求到服务器。服务器发送一个数字证书给客户端。数字证书包含服务器的公钥和其他信息。客户端验证数字证书，以确保证书来自可信的证书颁发机构，没有被篡改。

HostnameVerifier=weblogic.security.utils.SSLWLSHostnameVerifier,

海淀吴彦祖的博客

11-15

3435

weblogic发送https请求报：org.springframework.web.client.ResourceAccessException: I/O error on POST request for "https:xxxxxxxxxxxxxxxxxxxxxxx": Hostname verification failed: HostnameVerifier=weblogic.secu...

SSL证书的安全验证问题

Corgi001的博客

07-08

4037

作为程序员，我们会遇到千奇百怪的bug，今天我要分享的是SSL证书验证的问题。当我们遇到SSL证书过期问题时，可参照以下解决方法。在命令行工具中，尤其是当你使用 Git 或其他依赖 SSL/TLS 连接的工具时，你可能需要暂时禁用 SSL 验证。这通常是为了处理过期的证书、自签名证书或开发环境中的其他 SSL 相关问题。这将设置 Git 不再验证 HTTPS URL 的 SSL 证书。对于其他命令行工具，你可能需要查看该工具的文档，了解如何禁用 SSL 验证。

android 服务器证书校验,Android SSL 验证服务器证书 Hostname 不匹配错误。

weixin_33308985的博客

05-26

1604

使用HttpsURLConnection进行https访问的时候，当验证服务器证书的时候，有时候会报下面的错误。12-24 16:37:04.801: W/System.err(26380): java.io.IOException: Hostname '74.208.145.100' was not verified12-24 16:37:04.801: W/System.err(26380...

java开发https请求ssl不受信任问题

xiangbudao8的博客

10-12

4751

在java代码中请求https链接的时候，可能会报下面这个错误 javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: u...

SSL 证书错误：如何修复以及错误发生的原因

web_geek的博客

07-11

1万+

要确认您的网站已安装SSL证书，一种方法是使用浏览器访问您的网站并查看地址栏。如果您的网站主机在主机提供商上并且有SSL错误，可能是因为没有Whois电子邮件连接到您的网站。导致SSL证书错误的因素有很多，包括证书过期、服务器配置错误、域名不匹配以及由不受信任或未知的证书颁发机构签发的证书。然而，如果您的SSL证书出现错误，您可能会得到一个“不安全”的标签，这可能会导致访问者失去对您网站的信任并转向竞争对手。如果证书是自签名的，它是由您的服务器生成的，而不是由证书颁发机构生成的。不同服务器的过程有所不同。

在 Apache Tomcat 中配置双向 SSL

allway2的博客

08-28

732

在服务器使用 SSL 后，使用。

目标主机SSL证书链不完整【原理扫描】修复方法

最新发布

10-14

<think>首先，用户的问题是关于“目标主机SSL证书链不完整在原理扫描情况下的修复方法”。我需要基于提供的引用信息来回答这个问题。回顾引用内容： - 引用[1]：讨论了服务器SSL证书不受信任的原因，包括证书链不完整。 - 引用[2]：讨论了主机名验证功能被禁用的问题，但没有直接涉及证书链不完整。 - 引用[3]：讨论了脆弱的SSL加密算法漏洞，提到密码组配置，但没有直接涉及证书链。用户的查询是：“我想查找目标主机SSL证书链不完整在原理扫描情况下的修复方法”。关键点是“证书链不完整”的修复方法，在“原理扫描情况”下。我认为“原理扫描”可能是个笔误，应该是“漏洞扫描”，意思是基于原理的漏洞扫描。从引用[1]中：“证书链不完整：SSL证书通常是由一个或多个中间证书和根证书组成的证书链，如果客户端无法验证证书链中的任何一个证书，就会认为证书不可信。” 修复方法在引用中没有直接给出，但基于我的知识： - 修复证书链不完整的方法是确保服务器提供完全的证书链，包括所有中间证书。 - 这通常涉及在服务器配置中指定完整的证书链文件。用户指定了“在原理扫描情况”，所以我需要将回答集中在基于原理扫描的环境下。我的回答需要： - 使用中文。 - 结构化清晰。 - 基于引用信息。 - 添加到回答末尾的相关问题。 - 在引用的段落末尾添加引用标识。从之前的对话历史看，用户提到了之前的参考，但我需要基于最后一次用户的问题来回答。用户说：“上述引用仅供参考，并不是用户真正的需求，请尽可能多的参考用户上一次的问题和你的回答。” 用户上一次的问题就是这个查询：“我想查找目标主机SSL证书链不完整在原理扫描情况下的修复方法”。所以，我需要直接回答这个。修复方法： 1. 确保服务器提供了完整的证书链：包括终端实体证书、所有中间CA证书，但不包括根证书。 2. 在服务器软件中配置证书链文件。 3. 在漏洞扫描场景中，运行扫描工具来验证证书链是否完整。 4. 使用工具如OpenSSL来测试证书链。结构化回答： - 先解释问题：什么是证书链不完整。 - 然后给出修复步骤。 - 最后添加相关问题。确保回答真实可靠。添加引用：在解释原因时，引用引用[1]。回答结构： 1. 解释证书链不完整的原因。 2. 给出修复方法。 3. 讨论在原理扫描（漏洞扫描）下的应用。 4. 添加相关问题。相关问题： - 如何防止SSL证书链不完整？ - 哪些工具可以扫描SSL证书链问题？ - 证书链不完整会导致哪些安全风险？现在，构建回答。 </think>### SSL证书链不完整的修复方法（基于原理扫描场景） SSL证书链不完整是指服务器在提供SSL/TLS证书时，缺少必要的中间证书（Intermediate Certificates），导致客户端无法验证证书从终端证书到根证书的完整信任链。这通常发生在漏洞扫描（如“原理扫描”）中，扫描工具会检测到服务器配置错误，进而引发安全警告或连接失败。根据引用[1]，证书链不完整的原因是服务器未提供完整的证书链，这会让客户端无法验证证书的真实性[^1]。在原理扫描（即基于漏洞原理的自动化扫描）环境下，修复方法需要确保服务器配置完整证书链，并通过扫描工具验证修复效果。以下是详细修复步骤： #### 1. **理解问题根源** - SSL证书链由三部分组成：终端证书（服务器证书）、中间证书（Intermediate CA Certificates）和根证书（Root Certificate）。如果服务器配置时只提供了终端证书，而遗漏中间证书，客户端在连接时将无法构建完整信任链。 - 在原理扫描中，漏洞扫描工具（如OpenSSL、Nmap或Qualys SSL Labs）会主动检测这一缺陷并报告为“证书链不完整”。如果不修复，可能导致安全漏洞，例如中间人攻击（MITM）风险[^1][^2]。 #### 2. **修复步骤（针对目标主机服务器配置）** 以下是通用修复方法，适用于常见服务器软件（如Apache、Nginx、IIS）。在执行前，请确保已获取完整的证书链文件（通常从证书颁发机构CA获取，包括终端证书和所有中间证书）。 **步骤1: 准备完整的证书链文件** - 从您的CA下载所有中间证书（例如，CA提供的`.ca-bundle`文件）。您可以手动组合证书： - 创建一个新文件（如`fullchain.pem`），内容顺序为：终端证书 + 所有中间证书（不包括根证书）。 - 使用OpenSSL命令验证链完整性： ```bash openssl verify -CAfile root.crt -untrusted intermediate.crt server.crt ``` 如果输出“server.crt: OK”，表示链完整。 **步骤2: 配置服务器软件** - **Apache服务器**: - 编辑配置文件（如`httpd.conf`或站点配置文件），指定`SSLCertificateFile`为终端证书，`SSLCertificateChainFile`为中间证书文件（或直接使用`SSLCertificateFile`指向`fullchain.pem`）。 - 示例配置： ```apache SSLCertificateFile /path/to/fullchain.pem SSLCertificateKeyFile /path/to/private.key ``` - 重启服务：`sudo systemctl restart apache2`。 - 参考Apache文档确保配置正确。 - **Nginx服务器**: - 编辑站点配置文件（如`nginx.conf`），在`ssl_certificate`指令中指向组合后的`fullchain.pem`文件。 ```nginx server { listen 443 ssl; ssl_certificate /path/to/fullchain.pem; ssl_certificate_key /path/to/private.key; } ``` - 重启服务：`sudo systemctl restart nginx`。 - Nginx会自动处理证书链。 - **IIS服务器**: - 打开IIS管理器，选择站点 → “服务器证书” → 导入证书。 - 导入时选择“完整证书链”格式（如`.pfx`文件），确保包含所有中间证书。 - 重启IIS服务。 **步骤3: 验证修复效果（原理扫描场景）** - 运行漏洞扫描工具重新扫描目标主机： - 使用OpenSSL命令：`openssl s_client -connect yourdomain.com:443 -showcerts > chain.txt`，检查输出是否列出所有中间证书。 - 使用Nmap扫描：`nmap --script ssl-cert --script-args=ssl-cert-chain yourdomain.com`，报告应显示“Certificate chain complete”。 - 在线工具：如Qualys SSL Labs SSL Test（访问`https://www.ssllabs.com/ssltest/`），输入域名后查看“Certificate Paths”部分是否为绿色。 - 如果扫描报告正常（无“chain incomplete”警告），表示修复成功；否则，检查证书文件顺序或重新配置。 #### 3. **注意事项** - **安全风险**：证书链不完整在原理扫描下会被标记为中等风险漏洞，可能导致客户端信任问题或拒绝连接。修复后，建议定期扫描监控，防止因证书更新导致类似问题[^1][^2]。 - **最佳实践**： - 使用自动化证书管理工具（如Let's Encrypt的Certbot），它会自动处理证书链。 - 在开发或测试环境中，提前运行本地扫描工具（如`testssl.sh`）模拟原理扫描。 - 结合引用[2]的内容，确保主机名验证功能启用（未禁用），以防止其他SSL问题[^2]。通过以上步骤，您可以在原理扫描环境下有效修复SSL证书链不完整问题。如遇具体服务器类型问题，可提供更多细节以获取针对性建议。