Java中绕过SSL/TLS验证:开发与风险透视

已于 2023-11-26 22:03:41 修改
阅读量746 收藏 10
点赞数 6
文章标签: java 开发语言 ssl 后端
于 2023-11-26 16:10:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/slh2016/article/details/134629072
版权

在这里插入图片描述
公众号:【知海漫步】
文章链接:Java中绕过SSL/TLS验证:开发与风险透视

警告: 本文提供的方法绕过SSL/TLS证书验证,这在某些开发场景下可能是有用的,但使用这些方法会导致严重的安全隐患。在生产环境中,你应该始终验证SSL/TLS证书以确保数据的安全传输。

引言

在日常的软件开发中,我们经常需要与其他服务进行HTTP通信。但在某些开发和测试场景下,我们可能会遇到由于证书问题导致的SSL握手失败。尽管解决这一问题的正确方式是确保所有服务都有有效的SSL/TLS证书,并且客户端配置了正确的信任存储,但在某些情况下,绕过SSL验证可能是一种快速解决问题的方法。

在本文中,我们将探讨如何在Java中创建一个信任所有SSL证书的HTTP客户端,并深入分析其背后的原理。

基本概念

SSL/TLS 与证书验证

SSL/TLS是为网络通信提供保密性和完整性的协议。它使用证书和私钥加密数据,确保数据在传输过程中不被窃取或篡改。证书验证是SSL/TLS握手过程的一个关键部分,确保您与预期的服务器通信,而不是中间人。

Java中的SSLContext和TrustManager

在Java中,SSLContext是SSL/TLS协议的实现,用于创建SSLEngineSSLSocketFactoryTrustManager决定是否接受证书链,最常见的实现是X509TrustManager,用于X.509证书。

信任所有证书的HTTP客户端实现

下面我们将讨论三种方法来创建信任所有证书的HTTP客户端:

方法1: 基础的信任所有实现

private CloseableHttpClient createTrustAllHttpClient() {
    try {
        // Trust all certs
        SSLContext sslContext = SSLContext.getInstance("TLS");
        sslContext.init(null, new TrustManager[] {
            new X509TrustManager() {
                public X509Certificate[] getAcceptedIssuers() {
                    return null;
                }

                public void checkClientTrusted(X509Certificate[] certs, String authType) {}

                public void checkServerTrusted(X509Certificate[] certs, String authType) {}
            }
        }, new java.security.SecureRandom());

        // Allow all hostnames
        NoopHostnameVerifier hostnameVerifier = NoopHostnameVerifier.INSTANCE;

        return HttpClients.custom().setSslcontext(sslContext).setSSLHostnameVerifier(hostnameVerifier).build();
    } catch (Exception e) {
        throw new RuntimeException(e);
    }
}

这种方法主要使用一个自定义的X509TrustManager来信任所有证书,并使用NoopHostnameVerifier来接受任何主机名。

方法2: 使用自签名证书策略

private static CloseableHttpClient createInsecureClient() throws Exception {
    SSLContext sslContext = SSLContexts.custom().loadTrustMaterial(null, new TrustSelfSignedStrategy()).build();

    return HttpClients.custom().setSslcontext(sslContext).setHostnameVerifier(SSLSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER).build();
}

此方法使用SSLContextscustom()方法并调用loadTrustMaterial(),其中传递nullTrustSelfSignedStrategy(),后者信任所有自签名证书。

方法3: 信任所有证书的另一种实现

public static CloseableHttpClient createTrustAllHttpClient() throws NoSuchAlgorithmException, KeyManagementException {
    TrustManager[] trustAllCertificates = new TrustManager[] {
        new X509TrustManager() {
            public X509Certificate[] getAcceptedIssuers() {
                return null;
            }

            public void checkClientTrusted(X509Certificate[] certs, String authType) {}

            public void checkServerTrusted(X509Certificate[] certs, String authType) {}
        }
    };

    SSLContext sslContext = SSLContext.getInstance("TLS");
    sslContext.init(null, trustAllCertificates, new java.security.SecureRandom());

    return HttpClients.custom().setSslcontext(sslContext).setHostnameVerifier(SSLConnectionSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER).build();
}

这是另一种使用自定义X509TrustManager的方法,与方法1相似,但在创建SSLContext时使用了不同的方法。

深入理解

绕过SSL/TLS验证的核心是TrustManager。在正常的SSL/TLS握手过程中,TrustManager负责检查服务器的证书链,并验证该链是否可以追溯到受信任的根证书。但在我们的实现中,我们使用了一个自定义的TrustManager,它简单地接受所有证书,无论它们是否有效。

此外,主机名验证是另一个重要的安全特性,它确保您连接的服务器的证书中的主机名与您尝试连接的URL中的主机名匹配。我们通过使用NoopHostnameVerifier来绕过这个检查。

总结

虽然创建一个信任所有SSL证书的HTTP客户端在某些开发和测试场景中可能是有用的,但它带来了严重的安全风险。在生产环境中使用这样的客户端将使您的应用程序容易受到中间人攻击。始终确保在生产环境中验证SSL/TLS证书,以保障数据传输的安全性。

微信公众号

在这里插入图片描述

知海漫步
关注
  • 6
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
跳过HTTPS证书java
11-08
跳过HTTPS证书java SSLContext ctx = SSLContext.getInstance("TLS"); X509TrustManager tm = new X509TrustManager() { public X509Certificate[] getAcceptedIssuers() { return null; } public void checkClientTrusted(X509Certificate[] arg0, String arg1) throws CertificateException { } public void checkServerTrusted(X509Certificate[] arg0, String arg1) throws CertificateException { } };
忽略tls 证书 java_Java 访问Https请求,如何忽略证书?
weixin_35869703的博客
02-13 578
现象:java程序在访问https资源时,出现报错:sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to r...
java证书验证_java客户端验证https连接(忽略证书验证和证书验证两种方式)
weixin_34352633的博客
02-12 1571
首先根据如下操作生成证书,配置springboot https,生成一个简单的https web服务验证客户端pom依赖org.springframework.bootspring-boot-starter-weborg.apache.httpcomponentshttpclient4.5.10org.apache.httpcomponentshttpcore4.4.12httpclient和ht...
java】hutool发送http请求,配置ssl忽略
daohangtaiqian的博客
07-05 4771
【代码】【java】hutool发送http请求,配置ssl忽略。
HttpClient可以直接请求https,为何要绕过ssl证书验证
xiaozhuangyumaotao的博客
06-29 1816
本程序使用的HttpClient版本: httpclient4.5.2 一个有意思的现象,看下面这段获取百度首页代码的HttpClient请求: importjava.io.IOException; importorg.apache.http.HttpEntity; importorg.apache.http.client.methods.CloseableHttpResponse; importorg.apache.http.client.methods.HttpGet; im...
https的get和post请求,去除ssl校验的java工具类
12-04
java的get和post请求,获取json的工具类,https时会存在ssl校验的问题,工具会自动去除ssl校验。
Java get/post的https请求忽略ssl证书认证
qq_37850230的博客
03-24 5391
Java get/post的https请求忽略ssl证书认证
java使用https实现单向客户端认证服务端,x.509证书。
a62929367的博客
07-20 3299
java使用https实现单向客户端认证服务端,x.509证书。
java请求https地址如何绕过证书验证?
爱老婆、爱生活、爱工作、爱编程
04-13 2784
第一种方法,适用于httpclient4.X 里边有get和post两种方法供你发送请求使用。 import java.io.BufferedReader; import java.io.IOException; import java.io.InputStream; import java.io.InputStreamReader; import java.io.Unsupport
java 自签名ssl证书_在Java客户端接受服务器的自签名ssl证书
weixin_30015835的博客
03-05 280
小编典典这里基本上有两个选择:将自签名证书添加到JVM信任库,或将客户端配置为选项1从浏览器导出证书,并将其导入到JVM信任库(以建立信任链):\bin\keytool -import -v -trustcacerts-alias server-alias -file server.cer-keystore cacerts.jks -keypass changeit-storepass cha...
JSSLTrace - a SSL/TLS Interceptor:基于JavaSSL / TLS协议拦截器-开源
05-08
Jssltrace是一个基于Java的工具,它使用户可以截获两个程序之间基于ssl的通信。 Jssltrace在本质上与tcptrace(http://www.pocketsoap.com/tcptrace)的工作方式相同,这是它的主要灵感。
SsX509TrustManager
08-26
android 访问https时 发送请求前 SsX509TrustManager.allowAllSSL();
Windows Server CVE-2016-2183 SSL/TLS协议信息泄露漏洞修复脚本
06-09
Windows Server 合规漏洞修复,修复Windows Server CVE-2016-2183 SSL/TLS协议信息泄露漏洞修复脚本,基于Windows PowerShell, 兼容Windows Server 2016/2019,防止Sweet32 生日攻击
JAVA实现的SSL/TLS双向认证源代码
02-02
压缩包里有客户端源码和服务器端源码,支持TCP的双向认证,也支持WEBSOCKET的双向认证,内附测试 wss的测试例子, 需要生成PKCS12的证书,导入浏览器才可以测试。
Java如何跳过https的ssl证书验证详解
08-25
主要介绍了Java跳过https的ssl证书验证的解决思路,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,下面我们来深入学习下吧
mybatisPlus使用MetaObjectHandler对字段进行更新
最新发布
m0_56356631的博客
04-23 291
都是符合我们的预期的。
string模拟实现
m0_73969414的博客
04-23 1411
c++string的模拟实现,面试必会知识点
实现自定义注解、实现自定义幂等性注解
qq_44721738的博客
04-23 556
添加 Spring AOP 依赖。创建自定义注解。创建一个新的 Java 注解类,通过@interface关键字来定义,并可以添加元注解以及属性。@Target(ElementType.METHOD) //表示作用于方法上@Retention(RetentionPolicy.RUNTIME) // 表示这个注解在运行时是可见的,这样 AOP 代理才能在运行时读取到这个注解编写 AOP 拦截(自定义注解)的逻辑代码。@Aspect@Component// 方法执行前的处理。
javaweb-SpringBoot基础
kussm_的博客
04-20 1308
Spring的官网(Spring的简介:Spring makes Java simple。Spring Boot 可以帮助我们非常快速的构建应用程序、简化开发、提高效率。创建一个子包controller。
mysql进行 SSL/TLS验证
06-02
在MySQL,可以使用SSL/TLS协议来加密客户端与服务器之间的通信,以保证数据传输的安全性。要启用SSL/TLS验证,需要进行以下步骤: 1. 生成SSL/TLS证书和私钥: ``` openssl req -x509 -newkey rsa:4096 -nodes -keyout server.key -out server.crt -days 365 ``` 该命令将生成一个有效期为365天的自签名SSL/TLS证书和私钥文件,分别为`server.crt`和`server.key`。 2. 将证书和私钥文件复制到MySQL服务器的安全目录下: ``` mkdir /etc/mysql/ssl cp server.crt server.key /etc/mysql/ssl/ ``` 3. 修改MySQL服务器的配置文件`/etc/mysql/mysql.conf.d/mysqld.cnf`,启用SSL/TLS验证: ``` [mysqld] ssl=on ssl-cert=/etc/mysql/ssl/server.crt ssl-key=/etc/mysql/ssl/server.key ``` 该配置文件指定了启用SSL/TLS验证,并指定了证书和私钥文件的路径。 4. 重启MySQL服务器,使配置生效: ``` systemctl restart mysql ``` 5. 在客户端连接MySQL服务器时,指定SSL/TLS选项: ``` mysql -u username -p --ssl-ca=server.crt --ssl-cert=client.crt --ssl-key=client.key ``` 其,`username`是数据库用户名,`client.crt`和`client.key`是客户端的SSL/TLS证书和私钥文件。执行该命令后,系统会提示输入数据库密码。 通过以上步骤,即可启用SSL/TLS验证,保障MySQL数据库的数据传输安全。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值