Apache HTTPClient SSLPeerUnverifiedException

时间:2012-08-23 16:02:45

标签: java ssl apache-httpclient-4.x

使用Apache HttpClient 4.2.1。使用从基于表单的登录示例中复制的代码

http://hc.apache.org/httpcomponents-client-ga/examples.html

访问受SSL保护的登录表单时出现异常:

Getting library items from https://appserver.gtportalbase.com/agileBase/AppController.servlet?return=blank
javax.net.ssl.SSLPeerUnverifiedException: peer not authenticated
Closing http connection
at sun.security.ssl.SSLSessionImpl.getPeerCertificates(SSLSessionImpl.java:397)
at org.apache.http.conn.ssl.AbstractVerifier.verify(AbstractVerifier.java:128)
at org.apache.http.conn.ssl.SSLSocketFactory.connectSocket(SSLSocketFactory.java:572)
at org.apache.http.impl.conn.DefaultClientConnectionOperator.openConnection(DefaultClientConnectionOperator.java:180)
at org.apache.http.impl.conn.ManagedClientConnectionImpl.open(ManagedClientConnectionImpl.java:294)
at org.apache.http.impl.client.DefaultRequestDirector.tryConnect(DefaultRequestDirector.java:640)
at org.apache.http.impl.client.DefaultRequestDirector.execute(DefaultRequestDirector.java:479)
at org.apache.http.impl.client.AbstractHttpClient.execute(AbstractHttpClient.java:906)
at org.apache.http.impl.client.AbstractHttpClient.execute(AbstractHttpClient.java:805)
at org.apache.http.impl.client.AbstractHttpClient.execute(AbstractHttpClient.java:784)

据我所知,证书很好(请参阅堆栈跟踪前的URL),未过期 - 浏览器不会抱怨。

我已尝试将证书导入我的密钥库a la

How to handle invalid SSL certificates with Apache HttpClient?

没有变化。我相信你可以创建一个自定义SSLContext来强制Java忽略错误,但我宁愿修复根本原因,因为我不想打开任何安全漏洞。

有什么想法吗?

2 个答案:

答案 0 :(得分:21)

编辑我意识到这个答案很久以前就被接受了,并且已经被投票了3次,但它(至少部分地)是不正确的,所以这里有更多关于这个例外的信息。对此给您带来的不便表示歉意。

  

javax.net.ssl.SSLPeerUnverifiedException:peer not authenticated

当远程服务器根本没有发送证书时,这通常是抛出的异常。但是,在使用Apache HTTP Client时会遇到一个边缘情况,因为它在此版本中的实现方式,以及sun.security. ssl.SSLSocketImpl.getSession()的实现方式。

使用Apache HTTP Client时,如果远程证书不受信任,也会抛出此异常,这通常会抛出“sun.security.validator.ValidatorException: PKIX path building failed”。

发生这种情况的原因是Apache HTTP Client在执行任何其他操作之前尝试获取SSLSession和对等证书。

提醒一下,有3 ways of initiating the handshake with an SSLSocket

  
      
  • 调用startHandshake明确开始握手,或
    •   
  • 在此套接字上读取或写入应用程序数据的任何尝试都会导致隐式握手,或
    •   
  • 如果没有当前有效的会话,则调用getSession会尝试建立会话,并完成隐式握手。
    •   

以下是3个示例,全部针对具有不受信任的证书的主机(使用javax.net.ssl.SSLSocketFactory,而不是Apache)。

示例1:

    SSLSocketFactory ssf = (SSLSocketFactory) sslContext.getSocketFactory();
    SSLSocket sslSocket = (SSLSocket) ssf.createSocket("untrusted.host.example",
            443);
    sslSocket.startHandshake();

这会抛出“javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed”(如预期的那样)。

示例2:

    SSLSocketFactory ssf = (SSLSocketFactory) sslContext.getSocketFactory();
    SSLSocket sslSocket = (SSLSocket) ssf.createSocket("untrusted.host.example",
            443);
    sslSocket.getInputStream().read();

这也会抛出“javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed”(如预期的那样)。

示例3:

    SSLSocketFactory ssf = (SSLSocketFactory) sslContext.getSocketFactory();
    SSLSocket sslSocket = (SSLSocket) ssf.createSocket("untrusted.host.example",
            443);
    SSLSession sslSession = sslSocket.getSession();
    sslSession.getPeerCertificates();

然而,这会引发javax.net.ssl.SSLPeerUnverifiedException: peer not authenticated

这是Apache HTTP Client's AbstractVerifier在版本4.2.1中使用的org.apache.http.conn.ssl.SSLSocketFactory中实现的逻辑。更高版本make an explicit call to startHandshake(),基于issue HTTPCLIENT-1346中的报告。

这最终似乎来自sun.security. ssl.SSLSocketImpl.getSession()的实现,它可以在调用IOException(内部方法)时捕获可能的startHandshake(false),而不会进一步抛出它。这可能是一个错误,虽然这不会产生巨大的安全影响,因为SSLSocket仍然会被关闭。

示例4:

    SSLSocketFactory ssf = (SSLSocketFactory) sslContext.getSocketFactory();
    SSLSocket sslSocket = (SSLSocket) ssf.createSocket("untrusted.host.example",
            443);
    SSLSession sslSession = sslSocket.getSession();
    // sslSession.getPeerCertificates();
    sslSocket.getInputStream().read();

值得庆幸的是,每当你真正尝试使用javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed时,它仍然会抛出“SSLSocket”(在没有获得对等证书的情况下通过获取会话没有漏洞)。

如何解决此问题

与任何其他不受信任的证书一样,问题在于确保您使用的信任存储包含必要的信任锚(即发出您要验证的链的CA证书,或者可能是特殊情况下的实际服务器证书。)

要解决此问题,您应该将CA证书(或可能是服务器证书本身)导入信任库。你可以这样做:

  • 在您的JRE信任库中,通常是cacerts文件(不一定是最好的,因为这会影响使用该JRE的所有应用程序),
  • 在您的信任库的本地副本中(您可以使用-Djavax.net.ssl.trustStore=...选项进行配置),
  • 为该连接创建特定的SSLContext(如this answer中所述)。 (有人建议使用不做任何事情的信任管理器,但这会使您的连接容易受到MITM攻击。)

初步回答

  

javax.net.ssl.SSLPeerUnverifiedException:peer not authenticated

这与信任证书无关,或者您必须创建自定义SSLContext:这是因为服务器根本没有发送任何证书。

此服务器明显未配置为正确支持TLS。这会失败(您将无法获得远程证书):

openssl s_client -tls1 -showcerts -connect appserver.gtportalbase.com:443

然而,SSLv3似乎有效:

openssl s_client -ssl3 -showcerts -connect appserver.gtportalbase.com:443

如果你知道谁在运行这个服务器,那么值得联系他们来解决这个问题。至少现在服务器应该真的支持TLSv1。

同时,解决此问题的一种方法是创建自己的org.apache.http.conn.ssl.SSLSocketFactory并将其用于与Apache Http客户端的此连接。

此工厂需要像往常一样创建SSLSocket,在返回该套接字之前使用sslSocket.setEnabledProtocols(new String[] {"SSLv3"});来禁用TLS,否则默认情况下会启用TLS。

答案 1 :(得分:0)

创建自定义上下文,以便您可以记录证书无效的原因。或者只是调试它。

相关问题
最新问题