【网络请求交互异常处理】第三方更换通讯证书导致SSLHandshakeException

最新推荐文章于 2024-05-06 10:18:49 发布
最新推荐文章于 2024-05-06 10:18:49 发布
阅读量1.6k 收藏
点赞数
分类专栏: java 文章标签: 网络 服务器 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lh19960914/article/details/126185982
版权

异常:
javax.net.ssl.SSLHandshakeException: server certificate change is restricted during renegotiation

发生了什么?为什么会出现异常?

服务端更换证书后,客户端建立的SSL/TLS连接并没有失效,在握手时使用缓存中的sessionId进行简化的握手流程,由此触发了异常。

HttpClient如何进行Https请求?

HttpClient根据不同的协议使用不同的Socket工厂创建连接,对于https会使用SSLConnectionSocketFactory.具体的SSL/TLS连接建立过程交由SSLSocketImpl处理。

建立连接后会HttpClient并不需要关注底层的数据加密,SSLSocketImpl会负责数据的读写。

如何处理?

重启机器

由于连接池的存在,等待连接报错重新建立新的连接不是一个好的选择,这可能会造成系统持续异常。如果没有其他措施,重启大法欢迎你。

禁用session

在建立连接之后使缓存失效可以避免使用简化的握手流程,不过性能影响较大,不提倡

SSLSocket.getSession().invalidate();

失效连接

既然是因为连接池的存在要重启机器,那我们可以把连接池清空。在连接池管理器PoolingHttpClientConnectionManager中有清理空闲连接的方法。

void closeIdleConnections(long idletime, TimeUnit tunit);
我们可以将idletime设置很小,就可以关闭大部分连接了。不过这样做法有些粗暴,可能会造成误伤。

连接池是可以自定义的,按需要定制自己想要的功能,如远程清空连接池,更精细一些,根据ip+port清理指定的连接。

为什么会出现这个异常?
HttpClient 是如何进行https请求的?
除了重启机器,是否还有其他应对方式?
初探Https
本文主要从源码的角度,探寻HttpClient如何进行Https请求,以及Java是如何进行SSL连接,不涉及SSL/TLS具体协议内容。

Https基础知识
Https的基础知识前辈们已经有了很好的总结,推荐几篇博文,可以学习一下。

HTTPS深入理解
HTTPS协议详解 系列
为了更好的理解下文,这里引用两个SSL/TLS握手流程,摘自 HTTPS深入理解
验证服务器握手过程

(1) 客户端通过Client Hello消息将它支持的SSL版本、加密算法、密钥交换算法、MAC算法等信息发送给SSL服务器。

(2) 服务器确定本次通信采用的版本和加密套件,并通过Server Hello消息通知给客户端。如果服务器允许客户端在以后的通信中重用本次会话,则服务器会为本次会话分配会话ID,并通过Server Hello消息发送给SSL客户端。

(3) 服务器将携带自己公钥信息的数字证书通过Certificate消息发送给客户端。

(4) 服务器发送Server Hello Done消息,通知客户端版本和加密套件协商结束,开始进行密钥交换。

(5) 客户端验证服务器的证书合法后,利用证书中的公钥加密客户端随机生成的premaster secret,并通过Client Key Exchange消息发送给SSL服务器。

(6) 客户端发送Change Cipher Spec消息,通知服务器后续报文将采用协商好的密钥和加密套件进行加密和MAC计算。

(7) 客户端计算已交互的握手消息(除Change Cipher Spec消息外所有已交互的消息)的Hash值,利用协商好的密钥和加密套件处理Hash值(计算并添加MAC值、加密等),并通过Finished消息发送给服务器。服务器利用同样的方法计算已交互的握手消息的Hash值,并与Finished消息的解密结果比较,如果二者相同,且MAC值验证成功,则证明密钥和加密套件协商成功。

(8) 同样地,SSL服务器发送Change Cipher Spec消息,通知客户端后续报文将采用协商好的密钥和加密套件进行加密和MAC计算。

(9) 服务器计算已交互的握手消息的Hash值,利用协商好的密钥和加密套件处理Hash值(计算并添加MAC值、加密等),并通过Finished消息发送给客户端。客户端利用同样的方法计算已交互的握手消息的Hash值,并与Finished消息的解密结果比较,如果二者相同,且MAC值验证成功,则证明密钥和加密套件协商成功。

(10) 客户端接收到服务器发送的Finished消息后,如果解密成功,则可以判断服务器是数字证书的拥有者,即服务器身份验证成功,因为只有拥有私钥的服务器才能从Client Key Exchange消息中解密得到premaster secret,从而间接地实现了客户端对服务器的身份验证。
重用会话的握手过程

协商会话参数、建立会话的过程中,需要使用非对称密钥算法来加密密钥、验证通信对端的身份,计算量较大,占用了大量的系统资源。为了简化SSL握手过程,SSL允许重用已经协商过的会话,具体过程为:

(1) 客户端发送Client Hello消息,消息中的会话ID设置为重用的会话的ID。

(2) 服务器如果允许重用该会话,则通过在Server Hello消息中设置相同的会话ID来应答。这样,

最低0.47元/天 解锁文章
l玉麒麟l
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
https解决SSLHandshakeException问题.zip
12-09
由于Android5.0以下的手持机在使用https协议通信是,在认证证书的时候回出现SSLHandshakeException问题,所以该代码避免了这个问题。
证书异常导致:javax.net.ssl.SSLHandshakeException: sun.security.validator
Aikes Blog
10-08 1万+
程序访问Https地址时报错处理
已解决javax.net.ssl.SSLHandshakeException: SSL握手异常的解决方法,亲测有效,嘿嘿嘿!!!
PythonAigc的博客
05-06 3668
`javax.net.ssl.SSLHandshakeException: SSL握手异常` 通常表示在尝试建立安全套接字连接(SSL/TLS 握手)时出现了问题。这个问题可能由多种原因引起,包括但不限于证书问题、协议不匹配、加密算法不支持等。以下是对这个异常的分析、报错原因、解决思路、解决方法以及代码示例。 ### 问题分析 SSL握手是建立安全通信的过程,它涉及到客户端和服务器之间的多个步骤,包括证书交换、加密算法协商等。如果在这个过程中任何一个步骤出现问题,都可能导致SSL握手失败,并抛出`SSL
【已解决】HttpClient访问不安全的https链接报错:SSLHandshakeException
Aspirin's Nest
05-15 1万+
前言 正常情况下,Java使用httpclient访问http或者https请求都是没有问题的,但是如果https请求证书是未经过认证的,就会报错 Exception in thread "main" javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBu
连接数据库SSLHandshakeException问题
我想问问天的专栏
08-08 5426
问题描述: 在测试服务器上,java程序启动的时候,日志里面出现javax.net.ssl.SSLHandshakeException,这个错误目前还没有发现是什么原因导致的,大概率是有人升级了mysql或者jdk的版本。 在查找多方资料发现,是jdk8和mysql支持的协议不一致导致的。 mysql版本:5.7.34 jdk版本:1.8.0_292 问题剖析: 1.jdk8从小版本JDK8u261开始支持TLS1.3,默认TLS1.2之前的协议在security里面是禁用的,所以从JDK8u261开始只
java https
weixin_30776863的博客
08-14 374
1. 异常突现 在这普通的一天,我写普通的代码,却突然收到不普通的报警 javax.net.ssl.SSLHandshakeException: server certificate change is restrictedduring renegotiation 查看日志访问xx支付的请求全部报错,紧急联系对方,得知对方更换了服务器证书。由于连接池会缓存连接,旧连接不能及...
url.openStream报错javax.net.ssl.SSLHandshakeException解决(忽略ssl证书方式)
02-23
访问带https请求忽略ssl证书,避免url.openStream报错javax.net.ssl.SSLHandshakeException url = new URL(imageUrl); if("https".equalsIgnoreCase(url.getProtocol())){ SslUtils.ignoreSsl(); } //不添加...
PKIX path building failed解决java获取https的时遇到的证书问题
最新发布
07-02
客户端会检查证书的有效性,确保它是由一个可信任的第三方机构(即证书颁发机构,简称CA)签发的,并且未过期。 #### 三、解决步骤详解 为了解决上述错误,可以通过以下步骤导入并信任缺失的证书: **1. 找到并...
java根证书认证实现https访问
01-04
3. **处理证书验证异常**:在Java代码中,如果服务器的证书不受信任,会抛出`javax.net.ssl.SSLHandshakeException`。为了继续连接,需要自定义`TrustManager`,它允许我们接受自定义的根证书。创建一个继承自`X509...
SSLHandshakeException异常依赖jar包[local_policy][US_export_policy].zip
07-09
2、在网络请求前加:System.setProperty("https.protocols", "TLSv1.2,TLSv1.1,SSLv3"); 3、修改JVM参数:-Dhttps.protocols=TLSv1.2,TLSv1.1,TLSv1.0,SSLv3,SSLv2Hello 4、旧版本jdk中,jce安全机制的bug,要去...
网络请求发生javax.net.ssl.SSLHandshakeException异常的情况
热门推荐
网鱼的栈
05-22 7万+
在使用volley和okhttp的时候,访问https的网站,经常会碰到一个异常就是javax.net.ssl.SSLHandshakeException,大致就是证书相关的异常。发生了好几次。先是怀疑是不是访问的网站是自签名网站,即没有在CA进行认证。一般这种情况下会报的异常是这样的:javax.net.ssl.SSLHandshakeException: java.security.c...
SSLHandshakeException
Fibonacci的专栏
08-03 7083
javax.net.ssl.SSLHandshakeException:
已解决javax.net.ssl.SSLHandshakeException: SSL握手异常的正确解决方法,亲测有效!!!
小明的Java问道之路
04-03 1万+
已解决javax.net.ssl.SSLHandshakeException: SSL握手异常的正确解决方法,亲测有效!!!
报错:SSLHandshakeException: server certificate change is restricted during renegotiation
zhishidi的博客
08-24 1851
1.背景 运行得很完美的代码,突然访问第三方接口就报错 SSLHandshakeException: server certificate change is restricted during renegotiation 2.处理办法 在请求第三方接口前添加如下配置 System.setProperty("jdk.tls.allowUnsafeServerCertChange", "true"); System.setProperty("sun.security.ssl.allowUnsaf
解决远程调用三方接口:javax.net.ssl.SSLHandshakeException报错
qq_38031730的博客
05-08 1万+
最近在对接腾讯会议API接口,在鉴权完成后开始调用对方的接口,在此过程中出现调用报错:javax.net.ssl.SSLHandshakeException
SSLHandshakeException: Received fatal alert: handshake_failure异常分析
John_Kry的博客
11-15 6049
先说明原因,jdk的不同版本不支持cipher suite(加密套件)所导致,我是客户端,服务端仅仅支持AES 256,而我的jdk版本却支持到AES 128,他们说256才足够安全,我上次这么无语还是上次 1.首先参考了改博主的帖子 有了想法 SSLHandshakeException: Received fatal alert: handshake_failure_jiangjun0130的博客-CSDN博客问题出现: jdk版本从7升级到8之后,出现ssl异常信息:具体错误信息如下:问题定位 关于
https请求报错:javax.net.ssl.SSLHandshakeException:Received fatal alert: unrecognized_name 的解决过程
qq_39201012的博客
10-25 3493
https请求报错:javax.net.ssl.SSLHandshakeException:Received fatal alert: unrecognized_name 的解决过程
第三方更换通讯证书导致SSLHandshakeException
Myth_Ghost
09-13 1895
异常突现 在这普通的一天,我写普通的代码,却突然收到不普通的报警 javax.net.ssl.SSLHandshakeException: server certificate change is restrictedduring renegotiation 查看日志访问的请求全部报错,紧急联系对方,得知对方更换了服务器证书。由于连接池会缓存连接,旧连接不能及时释放,线上一直在持续报警,最终刷新所有缓存,业务才全部恢复正常。 提出疑问 虽然系统恢复了正常,但是有几个问题一直留在我心里: 为什么会出现.
KIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find
妖妖玖丿
09-07 601
问题: Could not transfer artifact org.springframework.boot:spring-boot-starter-web:pom:2.2.3.RELEASE from/to nexus-aliyun (http://maven.aliyun.com/nexus/content/groups/public): sun.security.validator.ValidatorException: PKIX path building failed: sun.securi
java https证书_java请求https证书异常
05-13
如果你的 Java 应用需要与 HTTPS 连接,那么你需要使用 Java 中的 HTTPSURLConnection 类来进行连接。如果你遇到了 "javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed" 这样的异常,那么可能是因为你的应用程序没有正确配置证书。 以下是一些可能的解决方案: 1. 导入证书 将 HTTPS 服务器的证书导入到 Java 的信任存储中。可以使用 keytool 工具来完成此操作。例如: keytool -importcert -alias mycert -file mycert.cer -keystore cacerts 其中 mycert.cer 是你要导入的证书文件。 2. 禁用证书验证 在测试期间,可以将证书验证禁用。可以使用以下代码来实现: TrustManager[] trustAllCerts = new TrustManager[] { new X509TrustManager() { public java.security.cert.X509Certificate[] getAcceptedIssuers() { return null; } public void checkClientTrusted(X509Certificate[] certs, String authType) { } public void checkServerTrusted(X509Certificate[] certs, String authType) { } } }; SSLContext sc = SSLContext.getInstance("SSL"); sc.init(null, trustAllCerts, new java.security.SecureRandom()); HttpsURLConnection.setDefaultSSLSocketFactory(sc.getSocketFactory()); 请注意,这会将所有证书视为有效,包括可能被篡改的证书,因此仅在测试期间使用。 3. 使用自定义 TrustManager 你可以编写自定义 TrustManager 来验证服务器证书。通常,你需要验证证书的有效期、颁发者等信息。以下是一个简单的示例: TrustManager[] trustAllCerts = new TrustManager[] { new X509TrustManager() { public java.security.cert.X509Certificate[] getAcceptedIssuers() { return null; } public void checkClientTrusted(X509Certificate[] certs, String authType) { } public void checkServerTrusted(X509Certificate[] certs, String authType) throws CertificateException { // 验证证书有效期、颁发者等信息 } } }; SSLContext sc = SSLContext.getInstance("SSL"); sc.init(null, trustAllCerts, new java.security.SecureRandom()); HttpsURLConnection.setDefaultSSLSocketFactory(sc.getSocketFactory());
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值