安装在jBOSS上的客户端正在尝试访问在DataPower xi50v6.0.0.2设备上配置的安全网站。 SSL握手时连接失败。
我已经在DataPower上捕获了数据包,并发现SSL握手失败了Description:Handshake failure(40)。
但是,在Client Hello步骤中,我发现,只指定了一个密码套件:TLS_EMPTY_RENEGOTIATION_INFO_SCSV。
使用的TLS协议(根据数据包捕获)是TLS1.1。这个密码套件可以成为一个问题吗?
在DataPower系统日志中,我可以看到以下错误:
Request processing failed: Connection terminated before request headers read because of the connection error occurs
更新: 客户端应用程序在jBOSS7上运行。我已经要求我们的jBOSS管理员检查jBOSS端的配置。我以某种方式获得了安装jBOSS实例的服务器的访问权限,并检查了配置ssl的domain.xml。在domain.xml中,可以找到与密码套件相关的配置吗?
答案 0 :(得分:1)
我观察到,只指定了一个密码套件:TLS_EMPTY_RENEGOTIATION_INFO_SCSV
这不是真正的密码。如果没有指定其他密码,则客户端根本不提供任何密码,这意味着不能找到共享密码,因此握手将失败。看起来客户端有问题。原因可能是通过禁用所有SSL3.0密码来对抗POODLE攻击失败,这实际上禁用了TLS1 1.0和TLS 1.1的所有密码。