Burpsuit提示Handshake_failure的解决办法
本文档为hkt原创,转载不用注明出处:
使使用Burpsuit抓包时,设置好了Burp的CA证书的信任,当连接一个HTTPS站点时,页面提示Receive fatal alert: handshake_failure,点击Burp的Alerts选项卡,发现Burp有一行具体的错误提示
You have limited key lengths avaliable. To use stronger keys, please download and install the JCE unlimited strength jurisdiction policy files, from Oracle。
这表示当前使用的JAVA运行环境中对秘钥强度进行了限制,需要下载Oracle官方提供的一个叫JCE(Java Cryptography Extension)的扩展。
根据当前的JAVA版本在Oracle官方搜索JCE,我的是1.8,Java 8 JCE 下载地址。下载下来以后解压得到两个jar文件,把他放在%JAVA_HOME/jre/lib/security
目录中覆盖,重新打开Burpsuit,此时应该就可以正确连接了。
如果发现还是不能和服务器正确握手,可以点击Burpsuit的Project options
选项卡,在SSL
标签中,先把默认的
Use the default protocols and ciphers of your java installation
选项改为
Use custom protocols and ciphers
然后就多出两个复选框,一个是选择支持的SSL协议,一个是加密算法,都全部勾选。最后再勾选
Allow unsafe renegotiation (required for some client certificate)
问题就解决了。