第三方更换通讯证书导致SSLHandshakeException

最新推荐文章于 2024-07-01 07:15:00 发布
置顶 最新推荐文章于 2024-07-01 07:15:00 发布
阅读量1.9k 收藏 1
点赞数
分类专栏: Java后端 业务网关
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37539022/article/details/108562571
版权
当第三方服务器更换证书时,可能导致HttpClient的SSLHandshakeException。本文从源码角度分析HttpClient如何处理HTTPS请求,探讨SSL/TLS握手过程,包括正常握手和会话重用的情况。在遇到此类异常时,可以考虑重启机器、禁用session或清理连接池等方式应对。
摘要由CSDN通过智能技术生成
  1. 异常突现
    在这普通的一天,我写普通的代码,却突然收到不普通的报警

javax.net.ssl.SSLHandshakeException: server certificate change is restrictedduring renegotiation
查看日志访问的请求全部报错,紧急联系对方,得知对方更换了服务器证书。由于连接池会缓存连接,旧连接不能及时释放,线上一直在持续报警,最终刷新所有缓存,业务才全部恢复正常。

  1. 提出疑问
    虽然系统恢复了正常,但是有几个问题一直留在我心里:

为什么会出现这个异常?
HttpClient 是如何进行https请求的?
除了重启机器,是否还有其他应对方式?
3. 初探Https
本文主要从源码的角度,探寻HttpClient如何进行Https请求,以及Java是如何进行SSL连接,不涉及SSL/TLS具体协议内容。

3.1 Https基础知识
Https的基础知识前辈们已经有了很好的总结,推荐几篇博文,可以学习一下。

HTTPS深入理解
HTTPS协议详解 系列
为了更好的理解下文,这里引用两个SSL/TLS握手流程,摘自 HTTPS深入理解

验证服务器握手过程 图1

在这里插入图片描述

图片来自网络

(1) 客户端通过Client Hello消息将它支持的SSL版本、加密算法、密钥交换算法、MAC算法等信息发送给SSL服务器。

(2) 服务器确定本次通信采用的版本和加密套件,并通过Server Hello消息通知给客户端。如果服务器允许客户端在以后的通信中重用本次会话,则服务器会为本次会话分配会话ID,并通过Server Hello消息发送给SSL客户端。

(3) 服务器将携带自己公钥信息的数字证书通过Certificate消息发送给客户端。

(4) 服务器发送Server Hello Done消息,通知客户端版本和加密套件协商结束,开始进行密钥交换。

(5) 客户端验证服务器的证书合法后,利用证书中的公钥加密客户端随机生成的premaster secret,并通过Client Key Exchange消息发送给SSL服务器。

(6) 客户端发送Change Cipher Spec消息,通知服务器后续报文将采用协商好的密钥和加密套件进行加密和MAC计算。

(7) 客户端计算已交互的握手消息(除Change Cipher Spec消息外所有已交互的消息)的Hash值,利用协商好的密钥和加密套件处理Hash值(计算并添加MAC值、加密等),并通过Finished消息发送给服务器。服务器利用同样的方法计算已交互的握手消息的Hash值,并与Finished消息的解密结果比较,如果二者相同,且MAC值验证成功,则证明密钥和加密套件协商成功。

(8) 同样地,SSL服务器发送Change Cipher Spec消息,通知客户端后续报文将采用协商好的密钥和加密套件进行加密和MAC计算。

(9) 服务器计算已交互的握手消息的Hash值,利用协商好的密钥和加密套件处理Hash值(计算并添加MAC值、加密等),并通过Finished消息发送给客户端。客户端利用同样的方法计算已交互的握手消息的Hash值,并与Finished消息的解密结果比较,如果二者相同,且MAC值验证成功,则证明密钥和加密套件协商成功。

(10) 客户端接收到服务器发送的Finished消息后,如果解密成功,则可以判断服务器是数字证书的拥有者,即服务器身份验证成功,因为只有拥有私钥的服务器才能从Client Key Exchange消息中解密得到premaster secret,从而间接地实现了客户端对服务器的身份验证。

重用会话的握手过程 图2

在这里插入图片描述

协商会话参数、建立会话的过程中,需要使用非对称密钥算法来加密密钥、验证通信对端的身份,计算量较大,占用了大量的系统资源。为了简化SSL握手过程,SSL允许重用已经协商过的会话,具体过程为:

(1) 客户端发送Client Hello消息,消息中的会话ID设置为重用的会话的ID。

(2) 服务器如果允许重用该会话,则通过在Server Hello消息中设置相同的会话ID来应答。这样,客户端和服务器就可以利用原有会话的密钥和加密套件,不必重新协商。

(3) 服务器发送Change Cipher Spec消息,通知客户端后续报文将采用原有会话的密钥和加密套件进行加密和MAC计算。

(4) 服务器计算已交互的握手消息的Hash值,利用原有会话的密钥和加密套件处理Hash值,并通过Finished消息发送给客户端,以便SSL客户端判断密钥和加密套件是否正确。

(5) 客户端发送Change Cipher Spec消息,通知SSL服务器后续报文将采用原有会话的密钥和加密套件进行加密和MAC计算。

(6) 客户端计算已交互的握手消息的Hash值,利用原有会话的密钥和加密套件处理Hash值,并通过Finished消息发送给SSL服务器,以便SSL服务器判断密钥和加密套件是否正确。

3.2 HttpClient 如何处理https/http请求
先看一段小代码,这是一个简单的请求两次考拉主页的代码。通过之后的代码可以看到,在进行第二次请求时,并不会重新建立连接。

public static void main(String[] args) throws IOException {
CloseableHttpClient httpclient = HttpClients.createDefault();
HttpGet h

最低0.47元/天 解锁文章
Myth_Ghost
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java get https_java的https的get请求
weixin_28365523的博客
02-12 738
packagecom.wl.webservice;importjava.io.InputStream;importjava.net.HttpURLConnection;importjava.net.SocketException;importjava.net.SocketTimeoutException;importjava.net.URL;importjava.security.cert.Cer...
url.openStream报错javax.net.ssl.SSLHandshakeException解决(忽略ssl证书方式)
02-23
访问带https请求忽略ssl证书,避免url.openStream报错javax.net.ssl.SSLHandshakeException url = new URL(imageUrl); if("https".equalsIgnoreCase(url.getProtocol())){ SslUtils.ignoreSsl(); } //不添加...
已解决javax.net.ssl.SSLHandshakeException: SSL握手异常的解决方法,亲测有效,嘿嘿嘿!!!
PythonAigc的博客
05-06 4085
`javax.net.ssl.SSLHandshakeException: SSL握手异常` 通常表示在尝试建立安全套接字连接(SSL/TLS 握手)时出现了问题。这个问题可能由多种原因引起,包括但不限于证书问题、协议不匹配、加密算法不支持等。以下是对这个异常的分析、报错原因、解决思路、解决方法以及代码示例。 ### 问题分析 SSL握手是建立安全通信的过程,它涉及到客户端和服务器之间的多个步骤,包括证书交换、加密算法协商等。如果在这个过程中任何一个步骤出现问题,都可能导致SSL握手失败,并抛出`SSL
java发送http/https请求(get/post)代码
12-02
自己项目里的,可用
如何在Java中处理SSLHandshakeException异常?
最新发布
技术研究中心
07-01 407
大家好,我是免费搭建查券返利机器人省钱赚佣金就用微赚淘客系统3.0的小编,也是冬天不穿秋裤,天冷也要风度的程序猿!SSLHandshakeException异常是Java中常见的网络安全异常之一,通常在SSL/TLS握手过程中发生。这种异常可能会影响到网络通信的安全性和稳定性。本文将介绍如何在Java中处理SSLHandshakeException异常,以确保安全可靠的网络通信。
Java面试--HTTP和HTTPS协议
qq_39999478的博客
11-13 538
面试题:对HTTP协议了解多少,HTTP和HTTPS有什么区别,HTTPS的安全性是怎么实现的(阿里面试题) 面试题:http解释一下(顺丰面试题) Http协议是何方神圣? 一、HTTP简介 HTTP协议是Hyper Text Transfer Protocol(超文本传输协议)的缩写。HTTP协议工作于客户端-服务端架构为上。浏览器作为HTTP客户端通过URL向HTTP服务端即WEB...
有关https请求的工具类
m0_50056230的博客
04-20 415
有关https请求的工具类 /** * GET请求方式,无参数 * @param httpsUrl * @return */ public static String httpsGets(String httpsUrl){ BufferedReader input = null; StringBuilder sb = null; URL url = null; HttpURLConnection
java https get
xiejunna的博客
06-21 411
package com.e.a; import java.io.BufferedReader; import java.io.InputStreamReader; import java.net.URL; import java.security.cert.CertificateException; import java.util.Map; import javax.net.ss
https解决SSLHandshakeException问题.zip
12-09
4. **日期或时间不准确**:设备上的日期和时间设置不正确可能导致证书验证失败,因为证书的有效期会受到影响。 为了解决这些问题,我们可以采取以下代码策略: 1. **自定义TrustManager**:通过创建自定义的`X509...
java根证书认证实现https访问
01-04
3. **处理证书验证异常**:在Java代码中,如果服务器的证书不受信任,会抛出`javax.net.ssl.SSLHandshakeException`。为了继续连接,需要自定义`TrustManager`,它允许我们接受自定义的根证书。创建一个继承自`X509...
javax.net.ssl.SSLHandshakeException
03-19
NULL 博文链接:https://xusaomaiss.iteye.com/blog/723167
java发送http/https请求(get/post)Demo,亲测可用
02-14
java发送http/https请求(get/post)代码,java 通过发送json,post请求,返回json数据的方法 java 通过发送json,post请求,返回json数据的方法
javax.net.ssl.SSLHandshakeException: sun.security.validator 问题解决,与环境有关
04-03
这个异常通常是由于客户端和服务器之间的证书不匹配、信任锚点(信任根证书)不正确,或者Java的加密库无法验证服务器的身份导致的。在本例中,错误信息中包含“sun.security.validator”,这可能暗示了证书验证的...
java Https 请求POST、GET
qq_33651286的博客
10-19 1052
直接源码 package com.cetcnav.operations.util; import java.io.BufferedReader; import java.io.InputStream; import java.io.InputStreamReader; import java.io.OutputStream; import java.net.ConnectException; import java.net.URL; import javax.net.ssl.HttpsURLConn
java调用http/https GET方法
雨易辰木的博客
05-18 3127
java调用http/https GET方法 java调用api比较麻烦,get方法的调用封装好了,下面我们来获取一下百度的 代码如下: import java.io.BufferedReader; import java.io.InputStreamReader; import java.net.HttpURLConnection; import java.net.URL; public class TestGet { public static void main(String[] arg
JAVA请求HTTPS协议
zhangshubin_的专栏
06-24 511
使用url API访问HTTPS协议的url,跟访问普通url一样,url api封装了底层复杂的ssl协议,暴露给上层应用的时候,使用方式跟普通的http请求无异了。需要做的是将服务端证书导入到本地可信任密钥库中。 代码: System.setProperty("javax.net.ssl.trustStore","E:\\home\\ca\\server.keystore");
java get https_java 实现https请求
weixin_33369808的博客
02-16 238
package cn.ljs.util.InterfaceDemo;import org.apache.commons.fileupload.FileItem;import org.apache.commons.fileupload.disk.DiskFileItem;import org.apache.commons.io.IOUtils;import org.apache.http.HttpE...
java get https_java-HttpGet /客户端和HTTPS
weixin_33924571的博客
02-21 62
以前,我使用自定义TrustManager谈论过here来做到这一点SAXParserFactory spf = SAXParserFactory.newInstance();SAXParser sp = spf.newSAXParser();XMLReader xr = sp.getXMLReader();MyXMLHandler mHandler = new MyXMLHandler();xr...
java实现http及https请求(get及post方式)
LazyCancerPatiens的博客
06-18 1420
java实现http请求 import org.apache.http.Consts; import org.apache.http.HttpEntity; import org.apache.http.NameValuePair; import org.apache.http.client.entity.UrlEncodedFormEntity; import org.apache.http.client.methods.CloseableHttpResponse; import org.apache.h
调用一个第三方接口出现javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path validation failed: java.security.cert.CertPathValidatorException: validity check failed
07-12
这个错误通常是由于SSL证书验证失败引起的。SSL证书验证失败可能是由于以下原因之一: 1. 证书过期:检查第三方接口使用的SSL证书是否过期。如果是过期的证书,你可以联系服务提供商以获取更新的证书。 2. 证书不受信任:检查你的系统是否信任第三方接口的证书。如果你使用的是自签名证书或未受信任的证书,你可以尝试将其添加到信任存储中。 3. 主机名验证失败:验证SSL证书是否与你正在访问的主机名匹配。有时,主机名验证可能会失败,因为证书中的主机名与你正在访问的主机名不匹配。你可以尝试使用通配符或修改主机名验证策略。 4. 中间证书丢失:检查证书链中是否缺少中间证书。中间证书是用于构建完整信任链的必要组成部分。如果中间证书丢失或未正确配置,SSL握手可能会失败。 5. TLS版本不匹配:检查你的应用程序和第三方接口使用的TLS版本是否兼容。如果TLS版本不匹配,可能会导致握手失败。尝试升级或降级TLS版本以解决此问题。 综上所述,根据具体情况,你可以尝试使用上述解决方法来解决javax.net.ssl.SSLHandshakeException错误。如果问题仍然存在,你可以联系第三方接口的服务提供商,获取进一步的支持和帮助。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值