现象
商户端接口限制TLS版本v1.2, 而应用A与应用B通过HttpClient调用接口,一个正常一个Connection Reset。 但代码写法一致。 经网络抓包应用A TLS版本v1.2 , 应用B TLS版本v1。唯一不同的在于HttpClient的版本。查阅源码看到HttpClient 4.3.6较4.3.5对TLS支持版本进行了变更。
分析
httpClient 4.3.5 vs 4.3.6 vs 4.4
httpClient 4.3.6 对SSLConnectionSocketFactory类进行了两处更新。一个bug修复, 一个优化。
关于enabledProtocols 默认tls版本的优化就在createLayeredSocket方法。
4.3.5
SSLConnectionSocketFactory#createLayeredSocket
4.3.6
如果没有传参数supportedProtocols的场景下, 4.3.5版本 取默认sslSock的enabledProtocols属性: TLSv1, 而4.3.6版本 此处有else逻辑, 取sslSock的supportedProtocols属性且过滤掉SSL。默认为 TLSv1, TLSv1.1, TLSv1.2。
4.4 及以后
**后续版本4.4又进行了修复,supportedProtocols改为了enabledProtocols **。
详见 https://issues.apache.org/jira/browse/HTTPCLIENT-1595
所以jdk1.7 想要支持TLSv1.1、TLS v1.2 最好还是手动设置 TLSv1.1、TLSv1.2