java url hostname_JAVA中为 HttpsURLConnection 设置自定义的 HostnameVerifier 导致 SNI 失效的问题...

最新推荐文章于 2022-10-11 23:20:00 发布
最新推荐文章于 2022-10-11 23:20:00 发布
阅读量535 收藏
点赞数
文章标签: java url hostname
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39616339/article/details/114211267
版权

由于我们拥有大量的域名,并且这些域名都使用了https,因此https证书的管理成了一个问题。于是我写了一个https证书的监控器,能在https证书出现问题(例如即将到期,已经到期,或者证书错误)时,主动通知管理人员。

a7cde57d93e949e4e68d0e60c005d513.png

该https证书监控器在我本机开发运行时一切正常,但当部署到监控服务器后,大量的https证书无法通过检查,出现了上图所示第2项的预警,即https证书监控器认为证书与域名不匹配的问题,并且打印出来的证书信息确实和域名不匹配,而事实上,通过浏览器访问有问题的域名,证书却是正确的。

何故如此?

一. 这里首先涉及到的是SNI的问题。

SNI(Server Name Indication)是为了解决一个服务器使用多个域名和证书的SSL/TLS扩展。它的工作原理是:在连接到服务器建立SSL连接之前,先发送要访问站点的域名(Hostname),这样服务器会根据这个域名返回一个合适的证书。

目前,大多数操作系统和浏览器都已经很好地支持SNI扩展。OpenSSL 0.9.8 已经内置这一功能,新版的Nginx也支持SNI。

我这里出现的问题就是https证书监控器向域名发出https请求时,web服务器没有返回正确的https证书,所以出现了证书和域名不匹配的预警。

二. 为什么监控器在本机运行正常,到了监控服务器上就出问题了?

SNI解决的是同一个IP地址下挂多个域名和多个SSL证书时,如何区分这些域名和证书的问题,需要服务端和客户端的双重支持。

我们的服务端支持SNI是毫无疑问的,否则浏览器访问我们的域名就会有问题。

那问题只能出在客户端,当客户端不支持SNI时,服务端无法得知客户端使用的是哪个hostname,即域名来访问服务器,只能返回默认的域名和SSL证书给客户端。我的监控服务器就是这种情况,当服务端的Nginx配置了多个域名和ssl证书时,客户端不论使用哪个域名来访问服务端,始终拿到的是服务端默认的域名和SSL证书。Nginx中可以指定默认server,如果不显示指定,Nginx自己会设置一个默认server,而我的客户端得到的证书就是这个默认server的证书。

资料显示,Java从java 7开始已经支持了SNI,我本机的java版本为java 1.8_172,监控服务器的java版本为java1.8_45,都是java 8。难道是java1.8_45有bug,服务器端正好有java1.8_131的安装包,于是我更新java至1.8_131版本,但是问题依旧,难道是操作系统的问题?

继续查资料,有人也遇到了同样的问题。

SNI client-side mystery using Java8

https://stackoverflow.com/questions/36323704/sni-client-side-mystery-using-java8

这个问题下面的一个答主很具体地指出了问题所在:为 HttpsURLConnection 设置自定义的 HostnameVerifier 将导致 SNI 失效。

我在之前的一篇文章中介绍过如何使用https,并且避开一些https证书的验证问题。

https://blog..net/Dancen/article/details/76682388

我在https监控器中便使用了getMyHttpsURLConnection的方式来获取HttpsURLConnection。

/**

* 获取不安全的HttpsConnection

* 关闭证书验证,可以和任何https站点建立连接

* @param url

* @return

* @throws IOException

*/

public static HttpsURLConnection getMyHttpsURLConnection(String url) throws IOException

{

HttpsURLConnection rs = null;

if(null != url && !url.isEmpty())

{

try

{

rs = (HttpsURLConnection)new URL(url.trim()).openConnection();

TrustManager[] trustManagers = {new MyX509TrustManager()};

SSLContext sslContext = SSLContext.getInstance("TLS");

sslContext.init(null, trustManagers, new SecureRandom());

rs.setSSLSocketFactory(sslContext.getSocketFactory());

rs.setHostnameVerifier(new MyHostnameVerifier());

}

catch(Exception e)

{

throw new IOException(e);

}

}

return rs;

}

getMyHttpsURLConnection方法中正好就使用了自定义的HostnameVerifier,经过测试,当注释掉这一行之后,SNI问题确实也就解决了。但这并不能解决我的问题,因为我之所以使用getMyHttpsURLConnection方法,就是为了关闭SSL证书验证,获取到证书的信息,再自己来对证书进行验证,以满足一些预警需要,即将SSL证书的验证后置。否则,Java会自己来对SSL证书进行验证,这样,证书有问题时就无法和服务端建立连接,HttpsURLConnection.connect()无法执行下去。

import com.dancen.serverdog.domain.CertException.CertExpiredException;

import com.dancen.serverdog.domain.CertException.CertExpiringException;

import com.dancen.serverdog.domain.CertException.CertNotMatchException;

import com.dancen.serverdog.domain.CertException.CertNotYetValidException;

以上是供我在自己执行SSL证书检查时抛出的一些自定义的异常。

三. 为 HttpsURLConnection 设置自定义的 HostnameVerifier 为什么会导致 SNI 失效。

上面的答主Johannes Ernst是这样说的:

经过对JDK几个小时的调试之后,我发现为 HttpsURLConnection 设置自定义的 HostnameVerifier 将导致 SNI 失效(正如我在getMyHttpsURLConnection中做的一样)。

在源码中可以发现问题,sun.net.www.protocol.https.HttpsClient:

if (hv != null) {

String canonicalName = hv.getClass().getCanonicalName();

if (canonicalName != null &&

canonicalName.equalsIgnoreCase(defaultHVCanonicalName)) {

isDefaultHostnameVerifier = true;

}

} else {

// Unlikely to happen! As the behavior is the same as the

// default hostname verifier, so we prefer to let the

// SSLSocket do the spoof checks.

isDefaultHostnameVerifier = true;

}

if (isDefaultHostnameVerifier) {

// If the HNV is the default from HttpsURLConnection, we

// will do the spoof checks in SSLSocket.

SSLParameters paramaters = s.getSSLParameters();

paramaters.setEndpointIdentificationAlgorithm("HTTPS");

s.setSSLParameters(paramaters);

needToCheckSpoofing = false;

}

HttpsClient这个类的作者是个聪明人,他在该类中检查了HttpsURLConnection所使用的HostnameVerifier是否是默认的JDK类,并基于此修改了一些SSL连接的参数,这样做的后果是,当我们使用了自定义的HostnameVerifier时,SNI会失效。

通过检查一个类的名称来确认该类是否是默认的JDK类,并使其具有一定的逻辑依赖是我永远不会想到的一个好主意,妈妈呀,更糟糕的是,SNI和HostnameVerifier有毛的关系呢?

怎么解决这个问题呢?我们依然可以使用自定义的HostnameVerifier,但是自定义的类名也必须是HostnameVerifier,只在大小写上要和默认的JDK类做出区分。因为我们的聪明人在高明地通过检查一个类的名称来确认该类是否是默认的JDK类时,并没有区分大小写。

由此可见,JDK的开发人员中果然是人才济济。

四. 解决办法。

上面的答主Johannes Ernst已经提供了解决方案,但是过于猥琐,于是我继续查资料。这个Java BUG已经有很多人提出来过:

https://bugs.java.com/view_bug.do?bug_id=JDK-8144566

上面显示已经在java1.8_141修复了bug。

看来我的监控服务器的java版本还是不够新,继续将java升级至java1.8_181版本,问题终于解决。

weixin_39616339
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
HTTPS 代理-SNI Proxy-WebSocket-Java
01-20
HTTPS 代理-SNI Proxy-WebSocket 一直用sni proxy做https反向代理,但最近公司网站使用了WebSocket功能而sni proxy不支持。网上搜了一圈,也没找到简单的解决方案。用NGINX折腾了一天,但搭出来的系统很不稳定。干脆用java自己写了个小程序,性能当然和squid、nginx之类的没法比,还好我们的系统负荷不是很重,运行了一个星期基本没问题。 附件是该 java 程序包。 使用方法: 1。 安装java 2。在命令行输入: java -jar HttpProxy.jar 监听IP地址 监听TCP端口 是否SSL 转发服务器IP 转发服务器端口 转发是否SSL 如果 “转发服务器IP” 填 “DNS” (不是DNS服务器地址,就是输入DNS三个字母) 则通过DNS查找转发服务器 3。主要功能:HTTPS 转发、HTTPS反向代理、HTTP转HTTPS、HTTPS转HTTP 4。如果最后再加个参数”保存目录“,则所有转发的数据保存在该目录,程序排错时比较有用
JAVAHttpsURLConnection 设置定义HostnameVerifier 导致 SNI 失效问题
Dancen的专栏
09-06 5894
由于我们拥有大量的域名,并且这些域名都使用了https,因此https证书的管理成了一个问题。于是我写了一个https证书的监控器,能在https证书出现问题(例如即将到期,已经到期,或者证书错误)时,主动通知管理人员。 该https证书监控器在我本机开发运行时一切正常,但当部署到监控服务器后,大量的https证书无法通过检查,出现了上图所示第2项的预警,即https证书监控器认为证书与域名...
httpsUrlConnection 如何设置的默认sslcontext和 hostnameverifier?
xiaoliuliu2050的专栏
11-02 3302
https请求接口的时候java是什么时候默认添加ssl 上下文的? HttpURLConnection 子类HttpsURLConnection 子类HttpsURLConnectionImpl 1 url.openConnection()) 2 https 的Handler 调用 protected URLConnection openConnection(URL var1) throws IOException { return this.openConnection(var1, (Pro.
java hostnameverifier_java – jndi LDAPS自定义HostnameVerifier和TrustManager
weixin_42511098的博客
02-26 193
对于其他人有同样的问题:我找到了一个非常难看的解决方案:import javax.net.SocketFactory;public abstract class ThreadLocalSocketFactoryextends SocketFactory{static ThreadLocal local = new ThreadLocal();public static SocketFactory ...
java8 https,在Java 8可以使用HttpsURLConnection来发送服务器名称指示(SNI)
weixin_42373997的博客
03-10 596
Oracle文档似乎表明Java 8默认自动发送SNI. Wireshark另有说明.我是一个PowerShell系统管理员,而不是Java开发人员,所以我几乎可以肯定我忽略了一些东西.与适当的信任密钥库一起使用时,以下代码从所有不需要SNI的SSL网站返回状态200.连接到多主机Apache服务器的默认SSL网站时,它也可以很好地返回.但是,当要求连接到非默认站点时,由于证书名称与站点名称不匹配...
hostname-3.13-3.el7_7.1.x86_64.rpm
12-02
离线安装包,亲测可用
node.jsurl.format方法使用说明
10-25
在Node.js环境,`url.format`方法是处理和格式化URL的重要工具,它允许开发者将一个解析后的URL对象转换为一个完整的、格式化的URL字符串。这个方法尤其在构建和拼接URL时非常实用,可以避免手动处理URL字符串的...
基于java开发的在线题库系统.zip
最新发布
01-21
spring.datasource.url // 数据库连接地址 spring.datasource.username // 数据库连接用户名 redis.hostname // redis 服务地址 redis.port // redis 端口 file.storage.path // 上传文件存放路径 确定property...
使用node.JSurl模块解析URL信息
10-15
此外,URL模块还提供了其他方法,如`url.format()`用于将解析对象格式化回URL字符串,`url.resolve()`用于解析相对URL,以及`url.resolveObject()`用于解析更复杂的相对URL。 总的来说,Node.js的URL模块是处理URL...
HttpsURLConnection
weixin_38987366的博客
12-07 5836
使用HttpsURLConnection访问https资源(自签名) 原创 passengers 工作日志 2017/07/07 16:44 阅读数 3.5K https(安全超文本传输协议)与http(超文本传输协议)相比,多了一层SSL认证,需要我们提供特定网点的证书才能访问 如果我们纯粹的用HttpsURLConnection去访问,则会报异常(使用不同的框架会导致所报的异常不同) 解决办法: 一、设置HttpsURLConnection,让它信任所有证书(即跳过验证步骤) 二、为Htt
org.eclipse.paho.mqttv5.client-1.2.5.jar解决SSL认证连接SNIHostName类不存在的问题
03-25
MQTTv5版的客户端库,原地址:https://github.com/eclipse/paho.mqtt.java。 本资源合入了解决低于android7.0报错Caused by: java.lang.ClassNotFoundException: Didn't find class "javax.net.ssl.SNIHostName"的问题
HttpUrlConnection底层实现和关于java host绑定ip即时生效的设置及分析
xyz_fly的专栏
11-06 4433
最近有个需求需要对于获取URL页面进行host绑定并且立即生效,在java里面实现可以用代理服务器来实现:因为在测试环境下可能需要通过绑定来访问测试环境的应用 实现代码如下:     public staticString getResponseText(String queryUrl,String host,String ip) { //queryUrl,完整的url,host和ip需要
运营商 sni 服务器,服务器名称指示(SNI)上的Java(Server Name Indication (SNI) on
weixin_34082139的博客
08-01 208
这是我如何org.apache.httpcomponents的HttpClient的V4.3做到了+private HttpClientConnectionManager createConnectionManager(final SSLContext ctx) {LOG.info("Creating sslConnectionSocketFactory");final SSLConnection...
java 访问 https网站,java用ssl和url共同类实现访问某https网站
weixin_29532367的博客
03-14 204
package test;import java.io.*;import java.net.*;import java.security.cert.CertificateException;import java.security.cert.X509Certificate;import javax.net.ssl.*;public class URLSTest {private static cl...
Java代码获取本机Hostname和IP地址
zjp的博客
07-25 9880
代码如下: import java.net.InetAddress; public class GetIP { /** * @param args * @throws Exception */ public static void main(String[] args) throws Exception { InetAddr...
java访问https_JAVA https接口调用
weixin_30636449的博客
02-12 2218
项目需要访问https请求但是一直报错No subject alternative names matching IP address XXX found.随查找各种API,原来https是双向握手,必须指定主机HttpsURLConnection conn = (HttpsURLConnection) url.openConnection();// conn.setHostnameVerifie...
java hostnameverifier_关于HostnameVerifier接口的解读
weixin_31315007的博客
02-26 1664
在项目我们需要调用https接口请求。我们使用httpClient,构建HttpClient对象时涉及到使用HostnameVerifier接口实例。HostnameVerifier接口定义如下:1 public abstract interfaceHostnameVerifier2 {3 public abstract booleanverify(String paramString, S...
Java Web 学习笔记之七:HttpsURLConnection实现Https请求发送(基本用法)
johnson_moon的博客
12-11 1538
简单介绍HttpsURLConnection用法
【JDK】Java语言URLURLConnection类的介绍及其相关方法
10-11 1105
URL,它是位于【java.net】包下面的一个类,该类主要是对资源地址的一个抽象表示,URL英文全称是:【Uniform Resource Locator】,文含义表示【统一资源定位符】。什么是统一资源定位符呢???在计算机的世界里面,我们所能够看到的所有的信息,图片,视频等等,它们都是存在不同的计算机上面的,我们把这些信息统称为:【资源】。我们要想通过浏览器就能够找到对应的资源,那就需要根据统一资源定位符找到该资源的具体位置,然后从这个位置下载到浏览器本地,这也是统一资源定位符的主要作用,即:
解决java.io.IOException: HTTPS hostname wrong: should be
05-26
这个错误通常是由于你使用的URL与其SSL证书不匹配所致。 解决方案之一是,手动信任该SSL证书。你可以使用以下代码: ```java TrustManager[] trustAllCerts = new TrustManager[]{ new X509TrustManager() { ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值