11

我正在从 SSL Socket 读取,但主机与证书不匹配(例如。host = "localhost")。我预计会出现异常,但以下代码可以愉快地与远程服务器通信,没有任何问题。

try (
    final Socket socket = SSLSocketFactory.getDefault().createSocket(host, port);
    final OutputStream os = socket.getOutputStream();
    final InputStream is = socket.getInputStream()) {

    os.write(("HEAD / HTTP/1.1\r\nHost: " + host + "\r\nConnection: close\r\n\r\n").getBytes());
    os.flush();

    final byte[] bytes = new byte[1024];
    int n;
    while ((n = is.read(bytes)) != -1) {
        System.out.print(new String(bytes, 0, n));
    }
    System.out.println();
} catch (final IOException e) {
    // TODO Auto-generated catch block
    e.printStackTrace();
}

因此我尝试了另一种方法:

try {
    final HttpURLConnection conn = (HttpURLConnection) new URL("https://" + host + ":" + port + "/").openConnection();

    try (InputStream is = conn.getInputStream()) {
        IOUtils.copy(is, System.out);
    } catch (final IOException e1) {
        try (InputStream es = conn.getErrorStream()) {
            if (es != null) {
                IOUtils.copy(es, System.out);
            }
        }
    }
} catch (final IOException e) {
    // TODO Auto-generated catch block
    e.printStackTrace();
}

不幸的是,我仍然没有收到 SSL 异常,只是在日志中发出警告: 2013-07-31 16:02:27,182 WARN nio - javax.net.ssl.SSLException: Received fatal alert: certificate_unknown

如果证书不匹配,如何获取 SSL 异常?

4

2 回答 2

21

SSL/TLS 协议规范是模块化的,并且与用于验证远程主机的规范分离。这些其他规范分为两类:验证证书本身是否可信(RFC 3280/5280)和验证证书中的身份(RFC 6125 或 RFC 2818 用于 HTTPS)。

SSLSocketJSSE 在(或)API中集成了 SSL 协议和证书验证SSLEngine,但不处理标识符的验证(这同样重要)。

这主要是因为SSLSocket/SSLEngine可以适用于任何应用程序协议(例如 HTTP、IMAP、SMTP、LDAP ......),但是验证标识符的规则在不同的规范中(有小的变化),直到 RFC 6125(仍然是最近的)。

HttpsURLConnection处理这两者,因为它还使用HostnameVerifier遵循 HTTPS 规范(RFC 2818,第 3.1 节)的 . SSLSocket这是与/ SSLEngineAPI分开完成的。对于其他协议,您可能需要实现协议规范所说的内容。

话虽这么说,从 Java 7 开始,就有一种机制可以直接作为SSLSocket/ SSLEngineAPI 的一部分来验证证书的身份。

SSLParameters sslParams = new SSLParameters();
sslParams.setEndpointIdentificationAlgorithm("HTTPS");
sslSocket.setSSLParameters(sslParams);

如果主机名不匹配,使用它应该会引发异常。

HTTPS 和 RFC 6125 中更统一的规范之间没有重大区别(除了后者认为 IP 地址超出范围的事实)。即使您不使用 HTTPS,将其标识规范用于其他协议通常仍然有意义。(也许“RFC 6125”端点识别算法可能会出现在 Java 的更高版本中。)

于 2013-07-31T20:09:11.957 回答
3

主机名匹配不是 SSL 的一部分,它是 HTTPS 的一部分。参见例如 javax.net.ssl.HostnameVerifier。

您引用的日志表明HttpsURLConnection 引发了 SSLException。

于 2013-07-31T19:10:38.333 回答