SSLHandshake Eccezione dopo l'eliminazione delle crittografie correlate a SHA dal lato server

Naviga le tue risposte
0

Usiamo Java 1.8.0_121 e Apache HTTP client 4.4.1 sul lato client.

Ho rimosso tutte le crittografie correlate a SHA dal lato server per migliorare la sicurezza dell'applicazione. Ad esempio, ho rimosso ECDHE-RSA-AES256-SHA .

Purtroppo ho iniziato a ottenere SSLHandshakeException (vedi sotto). Ho ancora nella configurazione del mio server SHA256 , SHA384 ciphers. Ad esempio ECDHE-ECDSA-AES128-GCM-SHA256 o ECDHE-RSA-AES256-SHA384 . Sul lato client utilizziamo il provider di Bouncy Castle e dovrebbe supportare questi codici: link

Perché succede e cosa dovrei fare per prevenire il problema? 

Caused by: javax.net.ssl.SSLHandshakeException: Received fatal alert: handshake_failure
        at sun.security.ssl.Alerts.getSSLException(Alerts.java:192) ~[?:1.8.0_121]
        at sun.security.ssl.Alerts.getSSLException(Alerts.java:154) ~[?:1.8.0_121]
        at sun.security.ssl.SSLSocketImpl.recvAlert(SSLSocketImpl.java:2023) ~[?:1.8.0_121]
        at sun.security.ssl.SSLSocketImpl.readRecord(SSLSocketImpl.java:1125) ~[?:1.8.0_121]
        at sun.security.ssl.SSLSocketImpl.performInitialHandshake(SSLSocketImpl.java:1375) ~[?:1.8.0_121]
        at sun.security.ssl.SSLSocketImpl.startHandshake(SSLSocketImpl.java:1403) ~[?:1.8.0_121]
        at sun.security.ssl.SSLSocketImpl.startHandshake(SSLSocketImpl.java:1387) ~[?:1.8.0_121]
        at org.apache.http.conn.ssl.SSLConnectionSocketFactory.createLayeredSocket(SSLConnectionSocketFactory.java:394) ~[httpclient-4.4.1.jar:4.4.1]
        at org.apache.http.conn.ssl.SSLConnectionSocketFactory.connectSocket(SSLConnectionSocketFactory.java:353) ~[httpclient-4.4.1.jar:4.4.1]
        at org.apache.http.impl.conn.DefaultHttpClientConnectionOperator.connect(DefaultHttpClientConnectionOperator.java:134) ~[httpclient-4.4.1.jar:4.4.1]
        at org.apache.http.impl.conn.PoolingHttpClientConnectionManager.connect(PoolingHttpClientConnectionManager.java:353) ~[httpclient-4.4.1.jar:4.4.1]
        at org.apache.http.impl.execchain.MainClientExec.establishRoute(MainClientExec.java:380) ~[httpclient-4.4.1.jar:4.4.1]
        at org.apache.http.impl.execchain.MainClientExec.execute(MainClientExec.java:236) ~[httpclient-4.4.1.jar:4.4.1]
        at org.apache.http.impl.execchain.ProtocolExec.execute(ProtocolExec.java:184) ~[httpclient-4.4.1.jar:4.4.1]
        at org.apache.http.impl.execchain.RetryExec.execute(RetryExec.java:88) ~[httpclient-4.4.1.jar:4.4.1]
        at org.apache.http.impl.execchain.RedirectExec.execute(RedirectExec.java:110) ~[httpclient-4.4.1.jar:4.4.1]
        at org.apache.http.impl.client.InternalHttpClient.doExecute(InternalHttpClient.java:184) ~[httpclient-4.4.1.jar:4.4.1]
        at org.apache.http.impl.client.CloseableHttpClient.execute(CloseableHttpClient.java:82) ~[httpclient-4.4.1.jar:4.4.1]
        at org.apache.http.impl.client.CloseableHttpClient.execute(CloseableHttpClient.java:107) ~[httpclient-4.4.1.jar:4.4.1]

Aggiunto

Diciamo che capisco perché posso ancora usare ECDHE-RSA-AES256-SHA. Ancora non capisco perché fallisce.

L'ECDHE-RSA-AES256-SHA utilizza HMAC SHA-1? Dove posso trovare quanti bit usati da HMAC SHA-1?

    
posta Michael 19.02.2017 - 09:11
fonte

0 risposte

Leggi altre domande sui tag

Server DNS accessibile da Host interno ed esterno Rifiuta / Identifica la macchina compromessa che invia informazioni a un server?