SSLProtocolException: handshake alert: unrecognized_name: client-side code workaround?

In einem benutzerdefinierten HTTP-client abrufen von XML-Daten, ich bin immer die unrecognized_name Fehler. Die Antworten zu ähnlichen Fragen leider nicht für mich arbeiten:

  • Kann ich nicht ausschalten SNI-Unterstützung über die system-property, da mein code läuft innerhalb einer application server, über die ich keine Kontrolle haben
  • Ich nicht lösen können, die web-service-server-Konfiguration (hinzufügen ServerName)

Recht jetzt mein code-commons-httpclient-3.1, aber ich bin offen für alternativen. Hier der gekürzte code, den ich verwende jetzt:

HttpClient client = new HttpClient();
PostMethod method = new PostMethod(getEndpointUrl());
NameValuePair[] data = {
    new NameValuePair("username", getUsername()),
    new NameValuePair("password", getPassword()),
    new NameValuePair("email", email)
};
method.setRequestBody(data);
client.executeMethod(method);
return method.getResponseBodyAsStream();

Habe ich mir angeschaut HttpClient, und es scheint, dass ich kann eine Problemumgehung implementieren, ähnlich dem erwähnten https://stackoverflow.com/a/14884941/3676401, aber scheint eine Menge von potentiell sicherheitsrelevanten code.

Bin ich eher ungern dump eine große Menge von code in einer ansonsten einfachen client. Irgendwelche anderen Vorschläge?

InformationsquelleAutor stblassitude | 2014-05-26
  1. 3

    Du bist eine Verbindung zu einem server hat missconfigured SNI. Wenn Sie keine Kontrolle über diesen server und kann es nicht fixen, dann müssen Sie deaktivieren SNI.

    1), Wenn Sie erwarten, dass der server behoben werden, an einem gewissen Punkt, verwenden Sie die runtime-flag zu deaktivieren, SNI, vorübergehend, bis der server behoben. Auf diese Weise können Sie einfach entfernen Sie dieses flag später sogar ohne erneutes kompilieren, sobald der server ist behoben.

    java -Djsse.enableSNIExtension=false

    2) Wenn Sie nicht erwarten, dass der server jemals behoben werden, implementieren Sie einen dauerhaften workaround wie das deaktivieren von SNI in Ihrer Anwendung:

    System.setProperty("jsse.enableSNIExtension", "false");

    Den workaround die Antwort, die Sie link erwähnt letztlich deaktiviert SNI sowieso in einer viel umständlicher Weg, also, wenn Sie brauchen, SNI irgendwo anders in deiner Anwendung würde ich nur fahren mit einer der oben genannten Optionen.

    • Wie ich schon in meiner Frage, kann ich nicht setzen eine system-Eigenschaft, da mein code läuft in einem app-server habe ich keine Kontrolle über; Einstellung der Eigenschaft in meinem code scheint nicht zu helfen, da die SSLSocket-code zu haben scheint initialisiert wurde bereits durch die Zeit, mein code läuft. Und der workaround, den ich verlinkt verwendet den code, der zum Orakel SSLSocket Umsetzung ignorieren SNI auf einer pro-Fall-basis, so dass ich denke, das ist es, was ich will.
    InformationsquelleAutor bluehallu
  2. 2

    So, hier ist mein Versuch an diesem code. Ich habe es verborgen hinter einer Konfiguration Eigenschaft, die wir anpassen können, zum Zeitpunkt der Bereitstellung, so dass hoffentlich können wir loszuwerden, diese Warze, sobald der web service-server-Konfiguration behoben.

    Ich habe nicht geprüft, alle Auswirkungen auf die Sicherheit dieser code hat. Ich habe nur getestet, mit meiner Anwendung, und es funktioniert möglicherweise nicht für Sie. Andere JVM-Versionen möglicherweise anders Verhalten. Nicht halten mich dafür verantwortlich, wenn Sie sich entschieden, um diesen code zu verwenden!

    Update 2014-09-01: Leider, diese Problemumgehung funktioniert nur, wenn Sie versuchen eine Verbindung zu der Zieladresse durch einen HTTPS-proxy. Wenn Sie die Verbindung direkt ist, erhalten Sie die etwas unscheinbare Fehler.

    Caused by: java.net.SocketException: Unconnected sockets not implemented
  at javax.net.SocketFactory.createSocket(SocketFactory.java:125) ~[na:1.7.0_65]

    Da unser Ziel-server gehabt hat, es ist-Konfiguration fest, ich brauche nicht den workaround nicht mehr. Hinzufügen eines arbeiten stub createSocket () - Methode ist viel komplizierter, weil es getan werden muss, um in HTTPClients' SSLSocketFactory.

    import javax.net.ssl.SSLSocketFactory;
import java.io.IOException;
import java.net.InetAddress;
import java.net.Socket;
import java.net.UnknownHostException;

/**
 * When a TLS client sends the Server Name Indication extension in the Client Hello, the server might reply with an
 * alert that it does not know this particular server name.  Usually, this means that the server is misconfigured,
 * or that you're using the wrong hostname.  But as long as the server does get you to the correct web service or
 * site, it's harmless.
 * <p/>
 * Oracle in it's wisdom has decided that the warning should be treated as an error.  This cannot be changed.  This
 * class overrides all createSocket calls so that the hostname (for TLS purposes) is blanked-out.  In the
 * implementation in 1.7.0_51-b13, this makes SSL not issue the SNI extension in the hello,
 * thereby not triggering the problematic response.
 * <p/>
 * To use this with Apache HttpComponents' HttpClient, you need to create a ConnectionManager that uses a
 * SchemeManager, which in turn uses a custom https SchemeHandler using this socket factory.
 *
 * <pre>
 *   {@code
 *   SchemeRegistry schemeRegistry = new SchemeRegistry();
 *   schemeRegistry.register(new Scheme("http", 80, PlainSocketFactory.getSocketFactory()));
 *   if (disableServerNameIndication) {
 *       schemeRegistry.register(new Scheme("https", 443, new SSLSocketFactory(new NoSNISSLSocketFactory
 *           (sslcontext.getSocketFactory()),
 *           SSLSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER)));
 *   } else {
 *       schemeRegistry.register(new Scheme("https", 443, new SSLSocketFactory(sslcontext)));
 *   }
 *   defaultHttpClient = new DefaultHttpClient(new PoolingClientConnectionManager(schemeRegistry));}
 * </pre>
 */
public class NoSNISSLSocketFactory extends SSLSocketFactory {

  private final SSLSocketFactory sslSocketFactory;

  protected NoSNISSLSocketFactory(SSLSocketFactory socketFactory) {
    this.sslSocketFactory = socketFactory;
  }

  @Override
  public String[] getDefaultCipherSuites() {
    return sslSocketFactory.getDefaultCipherSuites();
  }

  @Override
  public String[] getSupportedCipherSuites() {
    return sslSocketFactory.getSupportedCipherSuites();
  }

  @Override
  public Socket createSocket(Socket socket, String host, int port, boolean autoClose) throws IOException {
    return sslSocketFactory.createSocket(socket, "", port, autoClose);
  }

  @Override
  public Socket createSocket(String host, int port) throws IOException, UnknownHostException {
    return createSocket(new Socket(host, port), host, port, true);
  }

  @Override
  public Socket createSocket(String host, int port, InetAddress localHost, int localPort) throws IOException,
      UnknownHostException {
    return createSocket(new Socket(host, port, localHost, localPort), host, port, true);
  }

  @Override
  public Socket createSocket(InetAddress host, int port) throws IOException {
    return sslSocketFactory.createSocket(host, port);
  }

  @Override
  public Socket createSocket(InetAddress host, int port, InetAddress localHost, int localPort) throws IOException {
    return createSocket(new Socket(host, port, localHost, localPort), host.getHostName(), port, true);
  }
}
    InformationsquelleAutor stblassitude
Schreibe einen Kommentar