TLS协议的兼容性测试

最新推荐文章于 2024-05-11 09:35:10 发布
最新推荐文章于 2024-05-11 09:35:10 发布
阅读量3.9k 收藏 5
点赞数
分类专栏: 网络协议 文章标签: http tls ssl fiddler
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46512598/article/details/114092298
版权

0导言

工作中遇到,系统服务内部调用增加对TLSv1.2协议的支持,因此做了兼容测试

1测试结果

在这里插入图片描述

如表,TLS有一个内置机制来协商是使用那个版本的协议,客户端发送一个高版本协议,其中包含低版本协议,如果服务器不支持此高版本协议,他们将协议使用低版本协议。

2测试环境

	jdk版本:

​ 1.8,默认支持:[SSLv2Hello,SSLv3,TLSv1,TLS1.1,TLS1.2]

​ 浏览器:

​ 谷歌, 其版本80.0.3987.132(正式版本)(64位) 31以上就默认支持TLSv1.2

​ 客户端:

​ httpClient 3.0

​ 服务器

​ Tomcat7 7以上版本支持TLSv1.2

3测试变量控制

变量1:tomcat服务端配置

​ 准备:

​ 1、使用jdk的keytools创建密钥放入tomcat中

​ 2、tomcat配置https,添加443端口,配置密钥信息

​ 通过修改tomcat7的配置文件,D:\Developtools\apache-tomcat-7.0.107\conf\server.xml

原https配置:

配置当前服务器只支持SSL\TLS协议的版本:
<Connector port=“443” protocol=“org.apache.coyote.http11.Http11Protocol”
maxThreads=“150” SSLEnabled=“true” scheme=“https” secure=“true”
clientAuth=“false” sslProtocol=“TLS” keystoreFIle=“D:\tomcat.keystore” keystorePass=“123456” sslEnabledProtocols="xxx" />
分别配置:


 1. sslEnabledProtocols="TLSv1"  (TLSv1等于SSLv3) 此配置后服务器端支持1.0
 2. sslEnabledProtocols="TLSv1.1"  此配置后服务器端支持1.1
 3. sslEnabledProtocols="TLSv1.2"  此配置后服务器端支持1.2

变量2:httpClient客户端配置
修改MySecureProtocolSocketFactory类中sslcontext=SSLContext.getInstance(“xxx”)

分别配置:


 1. sslcontext=SSLContext.getInstance("TLSv1.2")
 2. sslcontext=SSLContext.getInstance("TLSv1.1")
 3. sslcontext=SSLContext.getInstance("TLSv1")
 4. sslcontext=SSLContext.getInstance("SSLv3")
 5. sslcontext=SSLContext.getInstance("SSL")

注意1 客户端配置高版本会兼容低版本(ps:只能拍照,懂得懂)
在这里插入图片描述
注意2
那么如何测试,当前客户端发送的默认那种版本的协议呢?
抓包工具:Fiddler

 代码如下:

HttpsProxyGet类的关键点是设置抓包工具的代理

package com.java;
import java.io.BufferedReader;
import java.io.InputStreamReader;
import org.apache.http.HttpEntity;
import org.apache.http.HttpHost;
import org.apache.http.HttpResponse;
import org.apache.http.auth.AuthScope;
import org.apache.http.auth.UsernamePasswordCredentials;
import org.apache.http.client.methods.HttpGet;
import org.apache.http.conn.params.ConnRoutePNames;
import org.apache.http.impl.client.DefaultHttpClient;

public class HttpsProxyGet {
    public static void main(String[] args) throws Exception {
        SSLClient httpclient = new SSLClient();
        // 访问的目标站点,端口和协议
        HttpHost targetHost = new HttpHost("www.baidu.com", 443, "https");
        // 代理的设置
        HttpHost proxy = new HttpHost("localhost", 8888);
        httpclient.getParams().setParameter(ConnRoutePNames.DEFAULT_PROXY, proxy);
        // 目标地址
        HttpGet httpget = new HttpGet("/s");
        System.out.println("目标: " + targetHost);
        System.out.println("请求: " + httpget.getRequestLine());
        System.out.println("代理: " + proxy);
        // 执行
        HttpResponse response = httpclient.execute(targetHost, httpget);
        HttpEntity entity = response.getEntity();
        System.out.println("----------------------------------------");
        System.out.println(response.getStatusLine());
        if (entity != null) {
            System.out.println("Response content length: " + entity.getContentLength());
        }
        // 显示结果
        BufferedReader reader = new BufferedReader(new InputStreamReader(entity.getContent(), "UTF-8"));
       String line = null;
        while ((line = reader.readLine()) != null) {
            System.out.println(line);
        }
        if (entity != null) {
            entity.consumeContent();
        }
    }
}


package com.java;

import java.security.cert.CertificateException;
import java.security.cert.X509Certificate;
import javax.net.ssl.SSLContext;
import javax.net.ssl.TrustManager;
import javax.net.ssl.X509TrustManager;
import org.apache.http.conn.ClientConnectionManager;
import org.apache.http.conn.scheme.Scheme;
import org.apache.http.conn.scheme.SchemeRegistry;
import org.apache.http.conn.ssl.SSLSocketFactory;
import org.apache.http.impl.client.DefaultHttpClient;

/**
 * 用于进行Https请求的HttpClient
 * @ClassName: SSLClient
 * @Description: TODO
 * @author Devin <xxx>
 *
 */
public class SSLClient extends DefaultHttpClient {
    public SSLClient() throws Exception{
        super();
        SSLContext ctx = SSLContext.getInstance("TLSv1");
        X509TrustManager tm = new X509TrustManager() {

            public void checkClientTrusted(X509Certificate[] chain,
                                           String authType) throws CertificateException {
            }

            public void checkServerTrusted(X509Certificate[] chain,
                                           String authType) throws CertificateException {
            }

            public X509Certificate[] getAcceptedIssuers() {
                return null;
            }
        };
        ctx.init(null, new TrustManager[]{tm}, null);
        SSLSocketFactory ssf = new SSLSocketFactory(ctx,SSLSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER);
        ClientConnectionManager ccm = this.getConnectionManager();
        SchemeRegistry sr = ccm.getSchemeRegistry();
        sr.register(new Scheme("https", 443, ssf));
    }
}

抓包结果: 与 SSLContext ctx = SSLContext.getInstance(“TLSv1”)中配置一致,默认高版本
c

4测试思路及过程

思路:
1、使用谷歌浏览器与提供端服务器建立连接访问,可验证到当前服务器协议版本。

调用谷歌浏览器,按F12查看:
在这里插入图片描述

2、消费者端发起服务调用,即使用httpClient发起https请求,查看服务调用情况。

变量1和变量2交叉改变,进行测试

测试结果共15种,在文章头表中。

5结语

文章梳理可能有点乱,对这块还是半只半知半解。
-----重言

一个酸柚子
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
如何让Nginx快速支持TLS1.3协议详解
09-30
TLS 1.3是最新且最安全的TLS协议版本,提供了更强的安全性和更快的连接速度。本文将详细介绍如何在Nginx上快速配置并支持TLS 1.3协议。 首先,了解TLS 1.3的优势: 1. **Enhanced security**:TLS 1.3增强了加密...
请求被中止: 未能创建 SSL/TLS 安全通道,设置 TLSv1.2和TLSv1.1版本 .基础链接已经关闭,发送时发生错误...
weixin_33755554的博客
04-23 943
WSO2 API访问的安全要求, 只能提供TLSv1.2和TLSv1.1版本,其它SSL版本协议因为存在较高安全漏洞问题会被disable。 A 改成TLSv1.1TLSv1.2,最好使用TLSv1.2。 这个要升级TLS版本 请求被中止: 未能创建 SSL/TLS 安全通道,设置  TLSv1.2和TLSv1.1版本 .基础链接已经关闭,发送时发生错误   if (url.StartsWit...
第三方对接时,协议版本TLSv1.2或TLSv1.1与自己系统的协议版本TLSv1.0不兼容
weixin_44678330的博客
07-13 831
推荐开源项目:testssl.sh - 强大的SSL/TLS检测工具
最新发布
gitblog_00005的博客
05-11 323
推荐开源项目:testssl.sh - 强大的SSL/TLS检测工具 项目地址:https://gitcode.com/drwetter/testssl.sh 项目介绍 testssl.sh 是一个免费的命令行工具,专注于检查服务器服务在任意端口上对TLS/SSL密码套件、协议以及某些加密缺陷的支持。它以其清晰的输出,机器可读性,无需安装或配置的特点,为用户提供了一种便捷且可靠的解决方案。 项目技...
漏洞修复启用了不安全的TLS1.0、TLS1.1协议
heike_Ch的博客
05-09 612
default_server中才能生效,且其他server块都会读取default_server中的配置。TLS 1.0和TLS1.1协议使用了脆弱的加密算法,存在重大安全漏洞,容易受到降级攻击的严重影响。表示启用TLSv1.2 TLSv1.3 禁用其他TLS协议,注意此配置只能配置在http块或者。启用对TLS 1.2或1.3的支持,并禁用对TLS 1.0和TLS 1.1的支持。nginx修改配置文件。出现下图则表示禁用成功。出现下图则表示禁用失败。
TLS/SSL 协议详解 (28) TLS 1.0、TLS 1.1TLS 1.2之间的区别
极客神殿
11-11 5726
TLS 1.0 RFC http://www.ietf.org/rfc/rfc2246.txt TLS 1.1 RFC http://www.ietf.org/rfc/rfc4346.txt TLS 1.2 RFC http://www.ietf.org/rfc/rfc5246.txt TLS 1.3 见:https://blog.csdn.net/mrpre/article/details/81...
用于加载此网站的连接使用的是 TLS 1.0 或 TLS 1.1,这两个 TLS 版本都已过时,将在不久后完全停用。届时,用户将无法再加载此网站。服务器应启用 TLS 1.2 或更高版本。
我要的光荣哪怕只有一秒
07-29 7643
https://www.aitiancheng.com/article-887.html 提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一、pandas是什么? 示例:pandas 是基于Nu
解决微软账户登录失败需要TLS 1.2的问题
El Chico, El Programador, El Expatriado
02-22 1681
后来,我在外国论坛上发现了一篇文章,解决了我的问题。原来问题的关键在于注册表的配置。显示我的TLS版本过低已经被弃用。我在网上找到了许多关于启用TLS 1.2、1.3等安全特性的方法,大多数人建议打开控制面板,选择“Internet选项”,再在“高级”选项卡中勾选TLS 1.2、1.3这几个复选框。但是在我的情况下,这些选项是灰色的,而且底部提示“某些选项由系统管理员管理”,无法勾选。接下来,再回到“Internet选项”的“高级”选项卡,勾选TLS 1.1至1.3,并重新启动计算机,问题得以解决。
TLS1.2 TLS1.3握手协议区别和问题排查
Fred Lee的程序人生
05-22 7290
修复internet用户和站点所有者的SSL/TLS握手失败错误 现在是发表另一篇技术文章的时候了,今天我们将讨论SSL/TLS握手失败错误及其修复方法。与许多SSL错误消息一样,这可以从客户端和服务器端触发,因此有时可以由普通互联网用户修复,而其他时候则表明网站存在配置问题。 不管它的起源如何,这都可能是一个令人沮丧的SSL错误,因为它阻止您与试图访问的网站建立安全连接。 我们将了解SSL/TLS握手是什么,然后我们将介绍SSL/TLS握手失败错误的原因以及您可以做些什么来修复它。 让我们好好想想
https站点强制通信协议TLSv1.2
热门推荐
Fred Lee的程序人生
07-03 7万+
TLSv1.2协议支持具体要分三部分内容。 <一>服务器对TLSv1.2的支持。 <二>客户端设置对TLSv1.2的支持 <三>客户端默认通过TLSv1.2访问设置。 本文对上述三方面内容进行了解读。
apache和nginx的TLS1.0和TLS1.1禁用处理方案
Bertram的博客
02-10 5783
apache和nginx的TLS1.0和TLS1.1禁用处理方案
HTTPS的SSL证书在服务端TLS协议中启用TLS1.2的小工具,推荐配置:TLSv1 TLSv1.1 TLSv1.2
01-15
在Windows系统中配置HTTPS的SSL证书在服务端TLS协议中启用TLS1.2,推荐配置:TLSv1 TLSv1.1 TLSv1.2,用于微信小程序报错。
测试基础高频100道面试题
05-19
- 不同点:平台差异、安装卸载测试、中断测试、兼容性测试(包括操作系统和设备)、网络条件下的行为测试等 以上是测试基础面试题100道中的一些核心知识点,涵盖软件测试目的、原则、任务、缺陷管理、测试模型、...
web测试技术点小结
01-05
2. **兼容性测试** - **浏览器兼容性**:测试应用在不同浏览器(如Chrome、Firefox、Safari、Edge等)中的表现,确保功能一致且视觉效果良好。 - **操作系统兼容性**:验证应用在Windows、MacOS、Linux等操作系统...
asp本地测试程序软件
10-06
asp测试软件,软件又叫netbox,兼容性强,直接运行即可使用。 产品介绍  NetBox 是一个全新概念的开发平台,它提供了业界最快速的用于开发 Internet 商业应用的开发和编译工具。NetBox 支持包括 JavaScript、...
WebService测试资料(超棒)
12-23
2. **兼容性测试**:确保服务在不同平台、操作系统、浏览器或客户端工具上都能正常工作。 3. **性能测试**:评估服务在高并发、大数据量下的响应时间和吞吐量,以及资源消耗情况。 4. **安全性测试**:检查数据传输...
SSL/TLS 单双向认证代码示例
t0m的专栏
12-15 3693
采用SSL/TLS形式的安全链接,能防止数据传输过程中被截获修改等问题SSL算法简短说明: 对称加密算法:DES 3DES AES 客户端和服务端使用同一个密钥对消息进行加密解密。 非对称加密算法:RSA, 生成公钥和私钥,采用公钥加密,私钥解密。客户端和服务器端各自持有自己的私钥证书,相互信任对方的证书(证书都导入到了对方的私钥仓库) 速度上,对称加密算法比非对...
http服务(nginx、apache)停用不安全的SSL协议TLS1.0和TLS1.1协议/启用TLS1.3
西京刀客
02-09 1万+
文章目录一、http服务停用不安全的TLS1.0和TLS1.1协议nginxApacheapache要支持TLS1.2 版本要求工作中遇到问题整理[error] No SSL protocols available [hint: SSLProtocol]apache 版本支持TLS1.3公网环境验证站点正在使用ssl/tls 版本二、关于启用TLS 1.31. 什么是TLS 1.3?2. 如何确定openssl库的最新支持的SSL/TLS版本?三、客户端对ssl/tls支持情况1. curl浏览器四、参考
如何确认确认目标服务器是否支持 SSL/TLS 协议,以及支持的版本和加密套件是否与客户端兼容
05-12
要确认目标服务器是否支持 SSL/TLS 协议,可以通过以下步骤: 1. 使用 openssl 工具连接目标服务器,并尝试建立 SSL/TLS 连接,例如: ``` openssl s_client -connect example.com:443 ``` 如果连接成功,则表示服务器支持 SSL/TLS 协议。 2. 通过 SSL/TLS 握手过程获取服务器支持的协议版本和加密套件信息,例如: ``` openssl s_client -connect example.com:443 -tls1_2 -cipher ECDHE-RSA-AES256-GCM-SHA384 ``` 上述命令中,`-tls1_2` 表示使用 TLS 1.2 协议连接,`-cipher ECDHE-RSA-AES256-GCM-SHA384` 表示使用 ECDHE-RSA-AES256-GCM-SHA384 加密套件连接。如果连接成功,则表示服务器支持相应的协议版本和加密套件。 要确认服务器支持的版本和加密套件是否与客户端兼容,可以参考 SSL/TLS 协议的支持矩阵,或者使用 SSL/TLS 测试工具,例如 Qualys SSL Labs 的 SSL Server Test。这些工具可以测试服务器的 SSL/TLS 配置,并给出相应的评估报告,包括支持的协议版本和加密套件,以及安全性评估等信息。根据评估报告,可以判断服务器的配置是否与客户端兼容。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值