Сбой соединения SSL на сервере Java 7 с RECV TLSv1 ALERT: фатально, handshake_failure

Question

Клиентское SSL-соединение на сервере на базе Java 7 завершается с ошибкой RECV TLSv1 ALERT: фатально, handshake_failure. Этот клиент пытается подключиться к https://www.iatspayments.com

Журнал отладки SSL показывает следующее:

Ignoring unsupported cipher suite: TLS_DHE_DSS_WITH_AES_128_CBC_SHA256
Ignoring unsupported cipher suite: TLS_DHE_DSS_WITH_AES_256_CBC_SHA256
Ignoring unsupported cipher suite: TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
Ignoring unsupported cipher suite: TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256
Ignoring unsupported cipher suite: TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
Ignoring unsupported cipher suite: TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
Ignoring unsupported cipher suite: TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA384
Ignoring unsupported cipher suite: TLS_RSA_WITH_AES_256_CBC_SHA256
Ignoring unsupported cipher suite: TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
Ignoring unsupported cipher suite: TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
Ignoring unsupported cipher suite: TLS_ECDH_RSA_WITH_AES_256_CBC_SHA384
Ignoring unsupported cipher suite: TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
Ignoring unsupported cipher suite: TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256
Ignoring unsupported cipher suite: TLS_RSA_WITH_AES_128_CBC_SHA256
Allow unsafe renegotiation: false
Allow legacy hello messages: true
Is initial handshake: true
Is secure renegotiation: false
%% No cached client session
*** ClientHello, TLSv1
RandomCookie:  GMT: 1438043029 bytes = { 77, 33, 40, 115, 168, 242, 145, 193, 121, 154, 125, 158, 66, 181, 49, 10, 251, 113, 134, 200, 45, 171, 200, 108, 155, 99, 67, 176 }
Session ID:  {}
Cipher Suites: [TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_256_CBC_SHA, TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA, TLS_ECDH_RSA_WITH_AES_256_CBC_SHA, TLS_DHE_RSA_WITH_AES_256_CBC_SHA, TLS_DHE_DSS_WITH_AES_256_CBC_SHA, TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA, TLS_ECDH_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_DSS_WITH_AES_128_CBC_SHA, TLS_ECDHE_ECDSA_WITH_RC4_128_SHA, TLS_ECDHE_RSA_WITH_RC4_128_SHA, SSL_RSA_WITH_RC4_128_SHA, TLS_ECDH_ECDSA_WITH_RC4_128_SHA, TLS_ECDH_RSA_WITH_RC4_128_SHA, TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA, TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA, SSL_RSA_WITH_3DES_EDE_CBC_SHA, TLS_ECDH_ECDSA_WITH_3DES_EDE_CBC_SHA, TLS_ECDH_RSA_WITH_3DES_EDE_CBC_SHA, SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA, SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA, SSL_RSA_WITH_RC4_128_MD5, TLS_EMPTY_RENEGOTIATION_INFO_SCSV]
Compression Methods:  { 0 }
Extension elliptic_curves, curve names: {secp256r1, sect163k1, sect163r2, secp192r1, secp224r1, sect233k1, sect233r1, sect283k1, sect283r1, secp384r1, sect409k1, sect409r1, secp521r1, sect571k1, sect571r1, secp160k1, secp160r1, secp160r2, sect163r1, secp192k1, sect193r1, sect193r2, secp224k1, sect239k1, secp256k1}
Extension ec_point_formats, formats: [uncompressed]
Extension server_name, server_name: [host_name: www.iatspayments.com]
***
jrpp-1, WRITE: TLSv1 Handshake, length = 192
jrpp-1, READ: TLSv1 Alert, length = 2
jrpp-1, RECV TLSv1 ALERT:  fatal, handshake_failure
jrpp-1, called closeSocket()
jrpp-1, handling exception: javax.net.ssl.SSLHandshakeException: Received fatal alert: handshake_failure
jrpp-1, IOException in getSession():  javax.net.ssl.SSLHandshakeException: Received fatal alert: handshake_failure

Я улучшил уровень шифрования в соответствии с файлами политик юрисдикции Unlimited Strength Extension для Java Cryptography Extension (JCE) 7 Загрузить

На основе теста Qualsys SSL сервер принимает только протоколы TLS1.1 и TLS1.2.

Я предоставил JVM следующие свойства запуска:

-Dhttps.protocols=TLSv1.2,TLSv1.1 -Ddeployment.security.SSLv2Hello=false -Ddeployment.security.SSLv3=false -Ddeployment.security.TLSv1=false -Ddeployment.security.TLSv1.1=true -Ddeployment.security.TLSv1.2=true

Из журнала отладки следует, что клиент использует TLSv1 для рукопожатия и сеанса данных, который затем завершается неудачей.

Два вопроса:

Почему клиент запускается по протоколу TLSv1, когда я отключил его как поддерживаемый протокол?
Какие настройки системы я могу сделать, чтобы сервер использовал TLSv1.1+ при установлении соединения SSL?

Примечание. Я рассмотрел Включить TLS 1.1 и 1.2 для клиентов на Java 7 и реализовал эти настройки.

score 1 · Answer 1 · 2011-03-09T19:38:42

Java 7 старая и не имеет встроенных новых и / или более надежных шифров.

Для меня решение состояло в том, чтобы установить файлы политик неограниченной юрисдикции Java Cryptography Extension (JCE) 7

score 1 · Answer 2 · 2011-03-09T19:38:42

Вот что сработало для меня наконец:

SSLContext context = SSLContext.getInstance("TLSv1.2");
context.init(null,null,null);
SSLContext.setDefault(context);

Сейчас выбран русский

Сбой соединения SSL на сервере Java 7 с RECV TLSv1 ALERT: фатально, handshake_failure

2 ответа2

Всё ещё ищете ответ? Посмотрите другие вопросы с метками java ssl tls.

Сбой соединения SSL на сервере Java 7 с RECV TLSv1 ALERT: фатально, handshake_failure

2 ответа2

Всё ещё ищете ответ? Посмотрите другие вопросы с метками java ssl tls.

Похожие