OWASP依赖项检查项目有一个打开的票证(#561),我无法复制或弄清楚究竟发生了什么。在某些使用OpenJDK的系统上,与NVD CVE数据源(https://nvd.nist.gov/download/nvdcve-Modified.xml.gz)的HTTPS连接失败。具体来说,它们以java.net.SocketException: Connection reset失败。我无法在我拥有的任何系统上重现这个问题 - 任何JRE / JDK安装似乎都适用于我的系统(ibm,oracle,open jdk)。
可以找到来自TLS连接失败的系统的SSL调试日志的要点here。任何人都可以解释为什么HTTPS下载失败的一些安装?当人们遇到openJDK问题并安装Oracle JDK时,下载工作正常。
谢谢!
- 杰里米
答案 0 :(得分:4)
根据ssllabs test,用于下载的网站nvd.nist.gov仅支持TLS1.1和TLS1.2只有几个密码:
将此信息与您链接的日志要点进行比较,您可以看到,对于每个提到的密码套件,Java报告“忽略不可用的密码套件”。
因此,连接将始终失败,因为服务器和客户端没有共同的密码可用于加密TLS连接。
从我的观点来看,我认为使用的OpenJDK是在没有Elliptic曲线支持的情况下编译的,或者是一个禁止使用这些密码的无效配置。
因此,它是使用过的OpenJDK版本的配置或构建问题。
编辑:可能与以下问题有关: