【网络请求交互异常处理】第三方更换通讯证书导致SSLHandshakeException

最新推荐文章于 2024-07-27 14:04:19 发布
最新推荐文章于 2024-07-27 14:04:19 发布
阅读量1.6k 收藏
点赞数
分类专栏: java 文章标签: 网络 服务器 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lh19960914/article/details/126185982
版权
当服务器更换通讯证书后,客户端在SSL/TLS连接时可能触发SSLHandshakeException。HttpClient使用SSLConnectionSocketFactory处理HTTPS请求,通过建立连接、验证服务器证书等方式进行通信。处理该异常的方法包括重启机器、禁用session或清理连接池。文章探讨了HttpClient的源码,解释了HTTPS请求的过程,并详细介绍了SSL/TLS握手流程。为避免连接池中旧连接导致的问题,可以考虑远程清空或精确清理特定连接。
摘要由CSDN通过智能技术生成

异常:
javax.net.ssl.SSLHandshakeException: server certificate change is restricted during renegotiation

发生了什么?为什么会出现异常?

服务端更换证书后,客户端建立的SSL/TLS连接并没有失效,在握手时使用缓存中的sessionId进行简化的握手流程,由此触发了异常。

HttpClient如何进行Https请求?

HttpClient根据不同的协议使用不同的Socket工厂创建连接,对于https会使用SSLConnectionSocketFactory.具体的SSL/TLS连接建立过程交由SSLSocketImpl处理。

建立连接后会HttpClient并不需要关注底层的数据加密,SSLSocketImpl会负责数据的读写。

如何处理?

重启机器

由于连接池的存在,等待连接报错重新建立新的连接不是一个好的选择,这可能会造成系统持续异常。如果没有其他措施,重启大法欢迎你。

禁用session

在建立连接之后使缓存失效可以避免使用简化的握手流程,不过性能影响较大,不提倡

SSLSocket.getSession().invalidate();

失效连接

既然是因为连接池的存在要重启机器,那我们可以把连接池清空。在连接池管理器PoolingHttpClientConnectionManager中有清理空闲连接的方法。

void closeIdleConnections(long idletime, TimeUnit tunit);
我们可以将idletime设置很小,就可以关闭大部分连接了。不过这样做法有些粗暴,可能会造成误伤。

连接池是可以自定义的,按需要定制自己想要的功能,如远程清空连接池,更精细一些,根据ip+port清理指定的连接。

为什么会出现这个异常?
HttpClient 是如何进行https请求的?
除了重启机器,是否还有其他应对方式?
初探Https
本文主要从源码的角度,探寻HttpClient如何进行Https请求,以及Java是如何进行SSL连接,不涉及SSL/TLS具体协议内容。

Https基础知识
Https的基础知识前辈们已经有了很好的总结,推荐几篇博文,可以学习一下。

HTTPS深入理解
HTTPS协议详解 系列
为了更好的理解下文,这里引用两个SSL/TLS握手流程,摘自 HTTPS深入理解
验证服务器握手过程

(1) 客户端通过Client Hello消息将它支持的SSL版本、加密算法、密钥交换算法、MAC算法等信息发送给SSL服务器。

(2) 服务器确定本次通信采用的版本和加密套件,并通过Server Hello消息通知给客户端。如果服务器允许客户端在以后的通信中重用本次会话,则服务器会为本次会话分配会话ID,并通过Server Hello消息发送给SSL客户端。

(3) 服务器将携带自己公钥信息的数字证书通过Certificate消息发送给客户端。

(4) 服务器发送Server Hello Done消息,通知客户端版本和加密套件协商结束,开始进行密钥交换。

(5) 客户端验证服务器的证书合法后,利用证书中的公钥加密客户端随机生成的premaster secret,并通过Client Key Exchange消息发送给SSL服务器。

(6) 客户端发送Change Cipher Spec消息,通知服务器后续报文将采用协商好的密钥和加密套件进行加密和MAC计算。

(7) 客户端计算已交互的握手消息(除Change Cipher Spec消息外所有已交互的消息)的Hash值,利用协商好的密钥和加密套件处理Hash值(计算并添加MAC值、加密等),并通过Finished消息发送给服务器。服务器利用同样的方法计算已交互的握手消息的Hash值,并与Finished消息的解密结果比较,如果二者相同,且MAC值验证成功,则证明密钥和加密套件协商成功。

(8) 同样地,SSL服务器发送Change Cipher Spec消息,通知客户端后续报文将采用协商好的密钥和加密套件进行加密和MAC计算。

(9) 服务器计算已交互的握手消息的Hash值,利用协商好的密钥和加密套件处理Hash值(计算并添加MAC值、加密等),并通过Finished消息发送给客户端。客户端利用同样的方法计算已交互的握手消息的Hash值,并与Finished消息的解密结果比较,如果二者相同,且MAC值验证成功,则证明密钥和加密套件协商成功。

(10) 客户端接收到服务器发送的Finished消息后,如果解密成功,则可以判断服务器是数字证书的拥有者,即服务器身份验证成功,因为只有拥有私钥的服务器才能从Client Key Exchange消息中解密得到premaster secret,从而间接地实现了客户端对服务器的身份验证。
重用会话的握手过程

协商会话参数、建立会话的过程中,需要使用非对称密钥算法来加密密钥、验证通信对端的身份,计算量较大,占用了大量的系统资源。为了简化SSL握手过程,SSL允许重用已经协商过的会话,具体过程为:

(1) 客户端发送Client Hello消息,消息中的会话ID设置为重用的会话的ID。

(2) 服务器如果允许重用该会话,则通过在Server Hello消息中设置相同的会话ID来应答。这样,

最低0.47元/天 解锁文章
l玉麒麟l
关注
专栏目录
第三方更换通讯证书导致SSLHandshakeException
Myth_Ghost
09-13 1953
异常突现 在这普通的一天,我写普通的代码,却突然收到不普通的报警 javax.net.ssl.SSLHandshakeException: server certificate change is restrictedduring renegotiation 查看日志访问的请求全部报错,紧急联系对方,得知对方更换服务器证书。由于连接池会缓存连接,旧连接不能及时释放,线上一直在持续报警,最终刷新所有缓存,业务才全部恢复正常。 提出疑问 虽然系统恢复了正常,但是有几个问题一直留在我心里: 为什么会出现.
SSLHandshakeException异常依赖jar包[local_policy][US_export_policy].zip
07-09
网上查了下,大部分说法有几种: 1、JDK版本问题,升级到1.8就好了。 2、在网络请求前加:System.setProperty("https.protocols", "TLSv1.2,TLSv1.1,SSLv3"); 3、修改JVM参数:-Dhttps.protocols=TLSv1.2,TLSv1.1,TLSv1.0,SSLv3,SSLv2Hello 4、旧版本jdk中,jce安全机制的bug,要去oracle官网下载对应的jce包替换jdk中的jce包, 安装路径:%JAVA_HOME%\jre\lib\security。 JDK7:http://www.oracle.com/technetwork/java/javase/downloads/jce-7-download-432124.html JDK8:http://www.oracle.com/technetwork/java/javase/downloads/jce8-download-2133166.html 注意:下载需要注册Oracle帐号,网站打开慢不说,注册至少要填写20个左右的必填字段,我特么当时就心态崩了啊卧槽,不过我还是下载下来了,分享给大家。
java https
weixin_30776863的博客
08-14 382
1. 异常突现 在这普通的一天,我写普通的代码,却突然收到不普通的报警 javax.net.ssl.SSLHandshakeException: server certificate change is restrictedduring renegotiation 查看日志访问xx支付的请求全部报错,紧急联系对方,得知对方更换服务器证书。由于连接池会缓存连接,旧连接不能及...
记录一次maven加载依赖时发生No negotiable cipher suite
最新发布
weixin_43885640的博客
07-27 128
既然是关于通信协议的错误,而maven与jdk的版本之间有对照关系,本人前段时间触发了jdk的自动更新,只是更新了一个小版本,但两者版本还是属于jdk8,我尝试卸载更新后的jdk,并且重装原来装maven时所使用的jdk版本,打开IDEA后发现已经能正确加载依赖了。
KIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find
妖妖玖丿
09-07 633
问题: Could not transfer artifact org.springframework.boot:spring-boot-starter-web:pom:2.2.3.RELEASE from/to nexus-aliyun (http://maven.aliyun.com/nexus/content/groups/public): sun.security.validator.ValidatorException: PKIX path building failed: sun.securi
Android 使用 HTTPS 问题解决(SSLHandshakeException
weixin_34363171的博客
03-20 1465
titledatecategoriestags Android 5.0以下TLS1.x SSLHandshakeException 2016-11-30 12:17:02 -0800 Android Android TLSv1.x 最近把App的所有请求都换成Https,在测试的时候,部分手机发现请求失败,失败的异常信息如...
报错:SSLHandshakeException: server certificate change is restricted during renegotiation
zhishidi的博客
08-24 1919
1.背景 运行得很完美的代码,突然访问第三方接口就报错 SSLHandshakeException: server certificate change is restricted during renegotiation 2.处理办法 在请求第三方接口前添加如下配置 System.setProperty("jdk.tls.allowUnsafeServerCertChange", "true"); System.setProperty("sun.security.ssl.allowUnsaf
url.openStream报错javax.net.ssl.SSLHandshakeException解决(忽略ssl证书方式)
02-23
访问带https请求忽略ssl证书,避免url.openStream报错javax.net.ssl.SSLHandshakeException url = new URL(imageUrl); if("https".equalsIgnoreCase(url.getProtocol())){ SslUtils.ignoreSsl(); } //不添加...
HTTPS协议的接口请求不通,抛javax.net.ssl.SSLHandshakeException sun.security.validator.Validator异常
hzhahsz的博客
12-06 4134
在开发接口联调时发现https://协议的域名的接口在外面通过postman等接口工具可以调通,而且项目也可以访问通,但是放到服务器上之后就调不通了,该域名在服务器上也是可以ping通的,并且抛出如下的异常 javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path buil...
毫无章法的记录--OkHtttp 访问https外部资源证书错误;处理javax.net.ssl.SSLHandshakeException异常;
qq_19296245的博客
04-18 392
异常大致信息: javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid cer...
SSL-Handshake-exception-bypass
05-12
SSL握手例外绕过 如果出于某种原因您的程序被假定要与网站对话,则此代码将绕过SSL握手,并在日志中获取SSL握手异常。 这是为我正在构建的某个东西而设计的,它不会链接到网站,因此我在网上重写了一些代码以使其适用于android。 这是非常不安全的,但是出于开发目的,它可以与我配合使用。 绝不要将其放置在代码的最终产品中。 如果要使用此功能,则应将其放入您的主要活动中
【笔记】记一次HTTPS请求SSLHandshakeException: Received fatal alert: handshake_failure异常问题
欢迎光临
04-14 1897
最近在项目中使用Hutools 请求HTTPS接口出现SSLHandshakeException: Received fatal alert: handshake_failure异常,经过排查属于JDK版本中安全机制导致,不同https安全协议不一致,可能是TLSv1.2,TLSv1.1,TLSv1.3等,TLS协议版本越高,HTTPS通信的安全性越高,但是相较于低版本TLS协议,高版本TLS协议对浏览器的兼容性较差。
SSLHandshakeException
Choi晨的博客
05-07 4231
调整一下手机系统时间试试!!!
上线服务时遇到的一个SSLHandshakeException错误
weixin_41249051的博客
02-28 767
发生原因如下:在java8及高版本以上的环境调用ssl的时候会出现SSLHandshakeException这个错误。今天部署自己的一个程序,在本地是可以正常跑通流程了,但是部署到服务器上运行之后出现了如下错误。将其中的SSLv3, TLSv1, TLSv1.1都注释掉。需要修改jdk中的一个叫java.security的文件。然后重启java程序即可。
javax.net.ssl.SSLHandshakeException的解决方法
热门推荐
sinat_20245997的博客
01-12 2万+
报错:javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certifica
javax.net.ssl.SSLHandshakeException:
Luojun904的博客
02-13 696
前些日遇到了个非常棘手的问题 本地项目能跑跳转时产生一个异常如下 javax.net.ssl.SSLHandshakeException:sun.security.validator.ValidatorException:PKIX路径构建失败:sun.security. 路径不与任何信任锚连接 后来找了很多种方式终于定位到了目标所在 是jdbc上的url如果我的没加useSSL=false那么我的...
java https证书_java请求https证书异常
05-13
如果你遇到了 "javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed" 这样的异常,那么可能是因为你的应用程序没有正确配置证书。 以下是一些可能的解决...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值