CS两端TLS版本不适配导致Connection reset问题

最新推荐文章于 2024-05-13 03:50:57 发布
最新推荐文章于 2024-05-13 03:50:57 发布
阅读量4k 收藏 5
点赞数 5
分类专栏: java 文章标签: connection reset tls tls1.3 jdk
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/myle69/article/details/82914770
版权

欢迎访问陈同学博客原文

问题背景

近期平台在公司的一个出口IP流量偶尔抖动,在与运营商扯皮无结果后,IT帮忙开了一条新的专线。我们需要把域名在公网的DNS指向新的出口IP。

下面是简图:

  • 旧:流量经公网IP 126,采用端口映射直接到平台的代理机,然后再转发给后端具体的业务代理。
  • 新:流量经公网IP 189,然后经公司统一代理(Proxy A),由代理把流量转发到我们自己的代理上。

切换DNS后,部署在云服务器上的应用利用Http Client访问部署在公司内网的服务时,出现 java.net.SocketException: Connection reset 异常。

部分stacktrace如下,Http Client在建立连接时出现了问题。

Caused by: java.net.SocketException: Connection reset
	at java.net.SocketInputStream.read(SocketInputStream.java:196)
	at java.net.SocketInputStream.read(SocketInputStream.java:122)
	at sun.security.ssl.InputRecord.readFully(InputRecord.java:442)
	at sun.security.ssl.InputRecord.read(InputRecord.java:480)
	at sun.security.ssl.SSLSocketImpl.readRecord(SSLSocketImpl.java:934)
	at sun.security.ssl.SSLSocketImpl.performInitialHandshake(SSLSocketImpl.java:1332)
	at sun.security.ssl.SSLSocketImpl.startHandshake(SSLSocketImpl.java:1359)
	at sun.security.ssl.SSLSocketImpl.startHandshake(SSLSocketImpl.java:1343)
	at org.apache.http.conn.ssl.SSLConnectionSocketFactory.createLayeredSocket(SSLConnectionSocketFactory.java:396)

问题排查

  • 因应用未更新,仅切换了DNS,这是唯一变量。做了个试验,将流量切换回旧的 x.x.x.126 后,一切正常。

    => 初步确定问题是由新线路与旧线路有些不同导致!

  • 领导特意提醒:公司统一代理只支持TLSv1.1、TLSv1.2。我在本地测试,加了系统参数 -Dhttps.protocols=TLSv1.2,发现还是出同样问题。

    => 于是,认为这个问题可能和TLS版本无关

  • curlpostman 发起相同请求,一切正常。

    => 那应该就是Http Client 这里的问题了

  • 由于我们对Http Client做了封装,简化了使用(简称A项目)。因此,新建了个项目(简称B项目),直接用 Http Client 发起请求,发现竟然请求成功了。

    => 真是不可思议,那两个项目的差别是什么?一下也没想起来。

  • 因为是网络问题,因此,A、B项目都加上系统参数 -Djavax.net.debug=all,希望能抓住点蛛丝马迹。一运行,还真不一样。

    A项目是jdk1.7,建立连接时报文有:ClientHello, TLSv1

    B项目是jdk1.8,建立连接时报文有:ClientHello, TLSv1.2

    此时,才想起,这是一个旧项目,用的是jdk1.7。

至此,问题解决。是因为公司代理只支持TLSv1.1、TLSv1.2,而客户端发起请求时用的是TLSv1,服务端直接拒绝握手。虽然无法升级jdk版本,但可以指定http client使用的TLS协议版本。

解决问题还是比较简单,下面借助于问题学习下涉及到的知识。

晓波补充:C不止于Java Client,像浏览器等其他client也会出现类似问题。问题可以归纳为CS两端TLS协议版本不适配。

拓展学习

什么是 connection reset ?

指服务端因某种原因关闭了连接,而此时客户端依然在读取数据,此时服务端会返回复位标识 RST,客户端就会提示:java.net.SocketException: Connection reset

造成 connection reset 原因很多,本文的问题是因TLS协议问题导致。

JDK1.7与1.8在TLS协议方面的区别?

jdk1.7 默认是TLSv1,但支持TLSv1.1、TLSv1.2

jdk1.8 默认是TLSv1.2.

通过以下代码可以查看受支持的协议(supported protocols)和启用的协议(enabled protocols),可以从受支持的协议中进行选择并启用。

SSLContext context = SSLContext.getInstance("TLS");
context.init(null, null, null);

SSLSocketFactory factory = context.getSocketFactory();
SSLSocket socket = (SSLSocket) factory.createSocket();

String[] protocols = socket.getSupportedProtocols();
System.out.println(Arrays.asList(protocols));

protocols = socket.getEnabledProtocols();
System.out.println(Arrays.asList(protocols));

贴一下 Oracle 的一篇blog: Diagnosing TLS, SSL, and HTTPS,摘取几个JDK版本中TLS协议信息:

JDK 8 (March 2014 to present)JDK 7 (July 2011 to present)JDK 6 (2006 to end of public updates 2013)
TLS ProtocolsTLSv1.2 (default)
TLSv1.1
TLSv1
SSLv3		TLSv1.2
TLSv1.1
TLSv1 (default)
SSLv3		TLS v1.1 (JDK 6 update 111 and above)
TLSv1 (default)
SSLv3

为什么-Dhttps.protocols=TLSv1.2不生效?

最开始就怀疑是TLS协议问题,但因设置该系统参数无效,导致忽略了这个因子,最后却证实依然是这个问题。那为什么这个参数不生效?

参考 Setting TLSv1.2 in https.protocols not workingDiagnosing TLS, SSL, and HTTPS

发现 https.protocols 环境变量只对 HttpsURLConnection 有效,下面是两个相关参数:

  • javax.net.debug

    打印connection相关信息,例如: -Djavax.net.debug=all-Djavax.net.debug=ssl:handshake

  • https.protocols

    控制使用 HttpsURLConnectionURL.openStream() 获取https连接的Java Clients 的协议版本。

    例如:-Dhttps.protocols=TLSv1,TLSv1.1,TLSv1.2

为什么OkHttp在jdk1.7没问题?

后续我又用了OkHttp替换Http Client,发现一切OK。OkHttp默认会使用TLSv1.2。OkHttp只知道但没用过,看了下发现使用还挺方便,如果是新项目,可以使用OkHttp替换Http Client。

关于 TLS1.0、1.1、1.2、1.3

数据来自 PCI DSS合规标准:禁用不安全的TLS 1.0

TLS各版本的信息稍微了解一下。

  • TLS 1.0于1999年发行,至今将近有20年。对于目前的互联网技术,TLS 1.0的存在可以说就是一种安全隐患。因为TLS 1.0易受各种攻击(如BEAST和POODLE)已有多年,除此之外,支持较弱加密,对当今网络连接的安全已失去应有的保护效力。因此,从去年开始,众多平台、安全企业纷纷放弃。
  • 2017年的年中,微软强烈建议企业、及其客户或者合作伙伴禁用已经出现问题的老旧版本TLS 1.0及TLS 1.1。
  • 2018年2月,GitHub停止支持弱加密标准,其中就包括弃用TLS 1.0及1.1协议。
  • 2018年4月1日,DigiCert禁用TLS 1.0/1.1,只支持TLS 1.2和更高版本。
  • 2018年6月21日,GlobalSign 将禁用 TL1.0 和 TLS1.1
  • 2018年6月30日,PCI 安全标准要求各大网站停止支持TLS1.0
  • 2018年8月10日,互联网工程任务组(IETF)发布了最新版本的传输层安全TLS——TLS 1.3,相比之前所有的版本,TLS 1.3顺应了目前互联网的需求,在安全性和响应速度性能方面作了更进一步的提升。TLS 1.3的出现,将会加快淘汰TLS 1.0的速度。

防人之心不可无

对于小团队来说,一方面由于安全意识薄弱,且没有专门的安全团队,精力全部扑在业务上;另一方面,这些团队的产品基本也不在攻击范围之内,没有什么攻击价值。

但没有发生危险不代表没有危险,该来的总会来。因此,对于开展的新项目,还是禁用TLS1.0、1.1,只使用TLS1.2,迎接TLS1.3的普及!

欢迎关注陈同学的公众号,一起学习,一起成长

cyjrun
关注
  • 5
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Wireshark抓包TLS协议栏显示版本不一致问题
weixin_43487849的博客
06-30 2568
进行APP安全测试时遇到一个问题,在协议显示栏里一堆TLS1.2版本的包中**出现几个TLSv1,并且都是client hello包,**我们知道TLSv1是不安全的,那这是不是安全漏洞呢? 下面为TLS协商过程: 1.客户端发送 生成随机数(client random)和支持的加密方法 给 服务器 第一个握手包,因为是握手过程,这个消息里包含了一个客户端生成的随机数 Random1、客户端支持的加密套件(Support Ciphers)和 SSL Version 等信息,因为密钥还没协商,这里还是使用明
客户端服务器通信协议版本不匹,TLS版本不匹(?)
weixin_30421043的博客
08-13 2684
让我们说我作为客户的一方支持TLS V1.0,1.1和1.2。远程站点支持TLS V1.0和1.1。双方支持相同的密码。我的问题:1 - 根据我的理解,我将始终使用我可用的最高TLS版本启动通信。在那种情况下,我将如何能够与另一方联系?2 - 以下是如上所述的客户端和服务器之间的Wireshark CLIENT HELLO捕获。TLSv1.1 Record Layer: Handshake P...
ERR_CONNECTION_REFUSED等非标准的HTTP错误状态码原因分析和解决办法
热门推荐
par@ish的博客
09-15 3万+
HTTP错误状态码是HTTP协议的一部分,而我们实际使用过程中,会发现浏览器会报一些英文的错误码,那这部分错误状态码是怎么回事呢?接着看下文来具体分析:
SSL TLS详解_ssl tls
最新发布
2401_84971562的博客
05-13 704
SSL/TLS是网络安全的基石,广泛应用于互联网上的安全通信,包括HTTPS、安全电子邮件、VPN等多种服务。自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
阿里云环境中TLS/SSL握手失败的场景分析
迷失蒲公英
02-25 1348
上面总结了很多握手失败的场景,一个有趣的现象是:失败的原因可能各不相同,但是抓包的结果大部分都比较一致,即客户端发的一个TLS/SSL握手包被服务器FIN/RST掉。对于这类问题的排查和分析,抓包分析仅仅只是一个线索,更加关键的是需要理解TLS/SSL握手整个过程中的细节以及当前场景中的网络链路,比如链路中有没有安全设备,代理,有没有使用双向验证,Keyless等等。
第三方对接时,协议版本TLSv1.2或TLSv1.1与自己系统的协议版本TLSv1.0不兼容
weixin_44678330的博客
07-13 855
Httpclient3.1指定tlsv1.2协议访问https
不会飞的小龙人的博客
03-11 1万+
前言 最近因公司某个服务器应用升级以及互联网安全要求,近期将禁用对TLSv1.0、TLSv1.1的访问支持,要求所有访问该服务的客户端项目升级到TLSv1.2,否则到期TLSv1.2生效后,将影响客户端的正常访问,于是安排工作着手对部份老项目进行升级改造。 TLS协议说明 百度百科的描述 安全传输层协议(TLS)用于在两个通信应用程序之间提供保密性和数据完整性。 该协议由两层组成: TLS 记录协议(TLS Record)和 TLS 握手协议(TLS Handshake)。 传输层安全性协
微信小程序 TLS 版本必须大于等于1.2问题解决
08-31
主要介绍了微信小程序 TLS 版本必须大于等于1.2问题解决的相关资料,需要的朋友可以参考下
微信小程序 免费SSL证书https、TLS版本问题的解决办法
11-26
微信小程序 免费SSL证书https、TLS版本问题的解决办法 微信小程序与第三方服务器通讯的域名5个必要条件 1、一个已备案的域名,不是localhost、也不是127.0.0.1,域名不能加端口 ...另外说一下,TLS版本问题,这个
解决微信小程序要求的TLS版本必须大于等于1.2的问题
03-29
1、2 两条都满足了,但是第三条亟待解决,导致小程序调用接口时报错: (此图片来源于网络,如有侵权,请联系删除! ) 三、正文 (1)为什么要满足 TLS 版本 1.2+ ? 2017年1月1日起,苹果强制所有 app 满足 HTTPS,即...
处理小程序TLS 版本必须大于等于 1.2
01-19
标题中的“处理小程序TLS版本必须大于等于1.2”指的是在开发或运行微信小程序时,其使用的Transport Layer Security (TLS) 协议版本应该至少为1.2。TLS是一种网络安全协议,用于加密互联网通信,确保数据传输的隐私...
TLS协议与JDK版本之间微妙的关系
极客on之路
09-17 1938
https://blog.csdn.net/Melo_FengZhi/article/details/85270674
测试协议
weixin_41139035的博客
04-24 484
public static void main(String[] args) throws Exception { SSLContext context = SSLContext.getInstance("TLS"); context.init(null, null, null); SSLSocketFactory factory = (SSLSocketFactory) con...
HTTPS请求报CONNECTION RESET问题,TLS版本服务端不支持
Menahem
06-20 1320
对于JDK1.7,支持SSLv2、SSLv3、TLSv1、TLSv1.1、TLSv1.2,默认使用TLSv1.1。如果服务端置的支持的SSL协议为TLSv1.2,那么默认情况下只有JDK1.8才能正常的访问.,支持SSLv2、SSLv3、TLSv1、TLSv1.1、TLSv1.2,默认使用。解决:在nginx里修改网站 站点置文件对应的TLS版本,修改为TLSv1.2。对于JDK1.6,支持SSLv2、SSLv3、TLSv1,默认使用TLSv1。这是因为客户端的TLS版本服务端不支持的原因。
Java 7的javax.net.ssl.SSLHandshakeException: Remote host closed connection during handshake异常分析
成长的足迹
09-24 5226
Java7通过httpsURLConnection建立HTTPS连接,异常如下: javax.net.ssl.SSLHandshakeException: Caused by: Remote host closed connection during handshake Caused by: SSL peer shut down incorrectly 解决方案似乎是明显的,客户端需要提高版本...
JDK1.7下载https文件报错 Received fatal alert: protocol_version 设置VM参数 -Dhttps.protocols=TLSv1.2
tanzongbiao的专栏
10-14 723
设置VM参数参考:
java https tlsv1_如何强制java服务器只接受tls 1.2并拒绝tls 1.0和tls 1.1连接
weixin_31626765的博客
02-16 1366
我有一个在Java 7上运行的https Web服务.我需要进行更改,以便该服务只接受tls1.2连接并拒绝ssl3,tls1.0和tls1.1.我添加了以下java参数,使得tls1.2是最高优先级.-Dhttps.protocols=TLSv1.2但它也接受来自java客户端的tls1.0连接.如果客户端也运行上面的java参数,连接是tls1.2,但如果客户端没有这个参数运行,连接是tls1...
Myeclipse2014上传项目到GitHub报错
qq_43082330的博客
09-05 189
标题错误 今天在用MyEclipse2014上传项目到GitHub的时候出错了,一个很奇怪的错误 翻译过来就是无法连接GitHub,于是我ping了GitHub一下,ping了三下,都可以连上 应该不是网络的问题,于是我打开了*疼的百度,搜索了下,看了很多都是新添加一个ssh秘钥的,可这个秘钥我早就是置了,很明显不是ssh秘钥的问题,在我坚(yi)持(zhi)不(mo)懈(yu)的努力下找到...
ssl证书双向认证访问https—解决javax.net.ssl.SSLHandshakeException: Received fatal alert: handshake_failure(好文章)
HD243608836的博客
07-14 5503
背景 今天尝试用Java去访问一个https接口,但抛出下面的异常: javax.net.ssl.SSLHandshakeException: Received fatal alert: handshake_failure 解决过程 (个人发现)建议如果是ssl双向认证的,先看看是不是客户端证书文件路径获取有问题(debug一下,看看是不是null),导致没携带证书访问https服务器,也会报这个handshake_failure错误。 遇到问题首先去Google,然后在 javax.n.
如何查看服务器端的TLS版本
09-08
您可以使用openssl命令来查看服务器端的TLS版本。您可以在终端中输入以下命令: ``` openssl s_client -connect <server_name>:<port_number> -tls1_2 ``` 其中,`<server_name>`是您要连接的服务器的名称或IP地址,`<port_number>`是服务器上的端口号。该命令将建立与服务器的TLS1.2连接并显示连接信息,其中包括协商的TLS版本。您可以更改`-tls1_2`参数以查看其他TLS版本的连接信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值