Wie Verwenden von Httpclient mit jedem SSL-Zertifikat, egal wie „schlecht“ es ist

Brad Parks:

Ich verwende Apache Httpclient in einem Web - Crawler, der nur für das Crawling öffentliche Daten.

Ich möchte es mit ungültigen Zertifikaten zu kriechen Websites der Lage sein, unabhängig davon, wie ungültig.

Mein Crawler nicht in irgendwelchen Benutzernamen, Passwörter werden vorbei, etc. und keine sensiblen Daten gesendet oder empfangen werden.

Für diesen Anwendungsfall, würde ich die kriechen httpVersion einer Website , wenn es vorhanden ist , aber manchmal tut es natürlich nicht.

Wie kann dies mit getan werden Apache Httpclient ?

Ich habe versucht , ein paar Vorschläge , wie diese , aber sie scheitern , noch für einige ungültige Zertifikate, zum Beispiel:

failed for url:https://dh480.badssl.com/, reason:java.lang.RuntimeException: Could not generate DH keypair
failed for url:https://null.badssl.com/, reason:Received fatal alert: handshake_failure
failed for url:https://rc4-md5.badssl.com/, reason:Received fatal alert: handshake_failure
failed for url:https://rc4.badssl.com/, reason:Received fatal alert: handshake_failure
failed for url:https://superfish.badssl.com/, reason:Connection reset

Beachten Sie, dass ich das versucht habe , mit meiner $JAVA_HOME/jre/lib/security/java.securityDatei jdk.tls.disabledAlgorithmsSatz zu nichts, dies ist kein Problem , um sicherzustellen, und ich immer noch Ausfälle wie die oben erhalten.

user3474985:

Die kurze Antwort auf Ihre Frage, die speziell ist, alle certs zu vertrauen, wäre es , die verwenden TrustAllStrategy und etwas zu tun , wie folgt aus :

SSLContextBuilder sslContextBuilder = new SSLContextBuilder();
sslContextBuilder.loadTrustMaterial(null, new TrustAllStrategy());
SSLConnectionSocketFactory socketFactory = new SSLConnectionSocketFactory(
        sslContextBuilder.build());
CloseableHttpClient httpclient = HttpClients.custom().setSSLSocketFactory(
        socketFactory).build();

Allerdings ... ein ungültiges Zertifikat nicht erlaubt, Ihr Hauptproblem sein. Ein handshake_failure kann für eine Reihe von Gründen auftreten , aber in meiner Erfahrung ist es in der Regel aufgrund eines SSL / TLS - Versionskonflikt oder Cipher Suite Aushandlungsfehler. Dies bedeutet nicht , das SSL - Zertifikat ist „schlecht“, es ist nur ein Konflikt zwischen dem Server und Client. Sie können genau sehen , wo die Handshake - Fehler wird mit einem Tool wie Wireshark ( mehr dazu )

Während Wireshark kann groß sein , um zu sehen , wo es versagt, wird es Ihnen helfen, mit einer Lösung nicht kommen. Jedes Mal , wenn ich über das Debuggen handshake_failures in der Vergangenheit ich bin gegangen , habe festgestellt , dieses Tool besonders hilfreich: https://testssl.sh/

Sie können an jedem Ihrer Fehler-Websites, dass Skript zu verweisen, um zu erfahren, welche Protokolle auf diesem Ziel verfügbar sind und was Ihr Kunde braucht Unterstützung, um einen erfolgreichen Handshake zu etablieren. Es wird auch Informationen über das Zertifikat auszudrucken.

Zum Beispiel (zeigt nur zwei Abschnitte der Ausgabe des testssl.sh):

./testssl.sh www.google.com
....
 Testing protocols (via sockets except TLS 1.2, SPDY+HTTP2) 

 SSLv2               not offered (OK)
 SSLv3               not offered (OK)
 TLS 1               offered
 TLS 1.1             offered
 TLS 1.2             offered (OK)
 ....
Server Certificate #1
   Signature Algorithm          SHA256 with RSA
   Server key size              RSA 2048 bits
   Common Name (CN)             "www.google.com"
   subjectAltName (SAN)         "www.google.com" 
   Issuer                       "Google Internet Authority G3" ("Google Trust Services" from "US")
   Trust (hostname)             Ok via SAN and CN (works w/o SNI)
   Chain of trust               "/etc/*.pem" cannot be found / not readable
   Certificate Expiration       expires < 60 days (58) (2018-10-30 06:14 --> 2019-01-22 06:14 -0700)
 ....
 Testing all 102 locally available ciphers against the server, ordered by encryption strength 
(Your /usr/bin/openssl cannot show DH/ECDH bits)

Hexcode  Cipher Suite Name (OpenSSL)       KeyExch.  Encryption Bits
------------------------------------------------------------------------
xc030   ECDHE-RSA-AES256-GCM-SHA384       ECDH       AESGCM    256       
xc02c   ECDHE-ECDSA-AES256-GCM-SHA384     ECDH       AESGCM    256       
xc014   ECDHE-RSA-AES256-SHA              ECDH       AES       256       
xc00a   ECDHE-ECDSA-AES256-SHA            ECDH       AES       256       
x9d     AES256-GCM-SHA384                 RSA        AESGCM    256       
x35     AES256-SHA                        RSA        AES       256       
xc02f   ECDHE-RSA-AES128-GCM-SHA256       ECDH       AESGCM    128       
xc02b   ECDHE-ECDSA-AES128-GCM-SHA256     ECDH       AESGCM    128       
xc013   ECDHE-RSA-AES128-SHA              ECDH       AES       128       
xc009   ECDHE-ECDSA-AES128-SHA            ECDH       AES       128       
x9c     AES128-GCM-SHA256                 RSA        AESGCM    128       
x2f     AES128-SHA                        RSA        AES       128       
x0a     DES-CBC3-SHA                      RSA        3DES      168

So diese Ausgabe verwenden , können wir sehen , dass , wenn Ihr Kunde SSLv3 nur unterstützt, würde die Handshake fehlschlagen , da das Protokoll vom Server nicht unterstützt wird. Das Protokoll - Angebot ist unwahrscheinlich , dass das Problem , aber Sie können überprüfen Sie, was Ihr Java - Client unterstützt durch die Liste der aktivierten Protokolle zu bekommen. Sie können eine überschriebene Implementierung des SSLConnectionSocketFactory von oben Code - Schnipsel bieten die Liste der aktivierten / unterstützten Protokolle und Chiffriersätze wie folgt zu erhalten ( SSLSocket ):

class MySSLConnectionSocketFactory extends SSLConnectionSocketFactory {
    @Override
    protected void prepareSocket(SSLSocket socket) throws IOException {
        System.out.println("Supported Ciphers" + Arrays.toString(socket.getSupportedCipherSuites()));
        System.out.println("Supported Protocols" + Arrays.toString(socket.getSupportedProtocols()));
        System.out.println("Enabled Ciphers" + Arrays.toString(socket.getEnabledCipherSuites()));
        System.out.println("Enabled Protocols" + Arrays.toString(socket.getEnabledProtocols()));
    }
}

Ich begegne oft handshake_failure, wenn es eine Chiffre-Suite Aushandlungsfehler ist. Um diesen Fehler zu vermeiden, Ihre Kunden Liste der unterstützten Chiffriersätze muss mindestens ein Spiel zu einer Chiffre-Suite enthalten aus der Liste der Server der unterstützten Chiffriersätze.

Wenn der Server AES256 basierte Chiffre erfordert Suiten müssen Sie wahrscheinlich die Java-Verschlüsselungs Erweiterungen (JCE). Diese Bibliotheken sind Nation beschränkt, so dass sie nicht an jemanden außerhalb der USA verfügbar.

Mehr über Kryptographie Einschränkungen, wenn Sie interessiert sind : https://crypto.stackexchange.com/questions/20524/why-there-are-limitations-on-using-encryption-with-keys-beyond-certain-length

Wie verwende ich ein SSL-Client-Zertifikat mit Apache HttpClient?

daniels: In Python habe ich folgende Anfragen verwendet: requests.put( webdavURL, auth=(tUsername, tPassword), data=webdavFpb, verify=False, cert=("/path/to/file.pem", "/path/to/file.key

Ist es schlecht, Polling in Java zu verwenden?

Arturs Vancans: Ich habe mehrere, ArrayListsdie als Datenwarteschlangen arbeiten. Jede der Warteschlangen ist mit einem einzelnen Thread verknüpft, der prüft, ob darin ArrayListDaten enthalten sind. while (array.size == 0) { // nothing } // do stuff wi

Wie schlecht ist es, @Resource Injection im Produktionscode zu verwenden

kalyan: Ich finde, dass @RequestMapping in der Controller-Klasse sehr nützlich ist. Dieser auf Anmerkungen basierende Controller ordnet eine URL einer Methode statt einer Klasse zu. Außerdem muss ich die Datei spring-servlet.xml für die Handlerzuordnung nicht

Ist es manchmal schlecht, <BR /> zu verwenden?

Bleistiftkuchen Ist es manchmal schlecht, <BR/>Tags zu verwenden ? Ich frage, weil einige der ersten Ratschläge, die mir mein Entwicklungsteam gab, folgende waren: Nicht verwenden <BR/>; Verwenden Sie stattdessen Stile. Aber warum? Gibt es negative Ergebnisse

Wie schlecht ist es, Ganzzahlzeiger als eindeutige IDs zu verwenden? C ++ 11

dvicino Ich habe eine Klasse, die, wenn sie instanziiert wird, ein paar eindeutige IDs erhalten muss, um zu funktionieren. Anfangs dachte ich daran, eine statische Funktion zu verwenden, die zuweist und erhöht. Ich brauche sie nicht, um aufeinanderfolgend zu s

Wie schlecht ist es, viele kleine Kernel in CUDA zu starten?

Michael Ich habe ein Gitter von Rechtecken. Jedes dieser Rechtecke besteht aus einem rechteckigen Punktgitter. Alle Punkte innerhalb des Rechtecks können durch genau dieselbe Befehlssequenz in einem Kernel behandelt werden. Ich werde in der Lage sein, einen Ke

Wie schlecht ist es, globale Variablen in nodejs zu verwenden?

abel Miete Ich brauche Bibliotheken (Mongo, Async ...) und einige Kernfunktionen in fast allen Dateien meines Codes. Soweit ich weiß, ist das Laden eines Moduls ein teurer Prozess. Außerdem ist das Schreiben von x weiteren Codezeilen in jede Datei ein Problem.

Wie akzeptiere ich ein selbstsigniertes SSL-Zertifikat mit der NSURLSession von iOS 7?

Carlos Cardoso Ich habe den folgenden Code (schnelle Implementierung): func connection(connection: NSURLConnection, canAuthenticateAgainstProtectionSpace protectionSpace: NSURLProtectionSpace) -> Bool { return protectionSpace.authenticationMethod == NSURLA

Wie heißt diese Programmiermethode? Und ist es schlecht?

Luminary Promotions In letzter Zeit habe ich in meinen Unity-Projekten festgestellt, dass es zum Erstellen einer modulareren Anwendung hilfreich ist, eine statische Liste in einer Klasse zu haben, die Verweise auf alle oder einige der erstellten Objekte enthäl

Ist die Effizienz von CSS mit Textschatten so schlecht wie mit Boxschatten?

Joshua Sandoval Ich habe in meinem langjährigen Webdesign festgestellt, dass der Box-Schatten von CSS mit Ressourcen enorm teuer ist und dazu führt, dass viele alte Telefone stark zurückbleiben. aber ist das bei text-shadow der fall? Wann ist es in Ordnung, Te

Wie verwende ich ein SSL-Zertifikat mit Swift Alamofire?

DRP Ich aktualisiere meine iOS-Apps mit HTTPS-Webdiensten. Ich habe meinen Webserver mit einem SSL-Zertifikat aktualisiert. Aber wissen Sie nicht, was Sie von der iOS-Codeseite aus tun sollen? Muss ich ein Zertifikat zusammen mit der Webanforderung übergeben?

Wie erhalte ich ein SSL-Zertifikat von ACM mit android aws sdk?

Sidharth MA Ich versuche, ein SSL-Zertifikat von ACM abzurufen, kann dies jedoch nicht. Ich habe versucht, das alte aws-java-sdk-acm zu verwenden, aber es hat einen http-Client, der nicht mehr verwendet werden kann. Daher kann ich das Zertifikat nicht von der

Wie kann ich mit phpseclib überprüfen, ob ein Zertifikat von einer öffentlichen Zertifizierungsstelle signiert ist?

halfer Ich muss sicherstellen, dass ein SMTP-Serverzertifikat von einer öffentlichen Zertifizierungsstelle signiert ist. Ich möchte phpseclib oder eine andere vertrauenswürdige Bibliothek verwenden. Ich glaube, ich kann die aus Firefox extrahierten Stammzertif

Warum ist es schlecht, kurz zu verwenden

Edenia Es kommt sehr häufig vor, dass selbst in Skripten, in denen der Entwickler garantiert, dass die Variable niemals ein Byte und manchmal zwei Bytes überschreitet. Viele Menschen entscheiden sich dafür, intTypen für jede mögliche Variable zu verwenden, die

Wie installiere ich ein SSL-Zertifikat von goDaddy in nodejs?

Santhosh D. Ich habe ein Zertifikat von Godaddy gekauft und es muss auf unserem NodeJS-Server installiert werden. Ich habe den folgenden Code geschrieben. Dies hat früher funktioniert, aber wir haben kürzlich das Zertifikat erneuert und die alten Zertifikate d

Wie schlecht ist es, Einheimischen explizit Dinge hinzuzufügen ()?

Xenoid Ich versuche, Module wie hier erläutert dynamisch zu laden . Ich habe ein Skript geschrieben, das einige Module erfordert, die auf einigen Systemen (z. B. requests) möglicherweise nicht standardmäßig installiert sind . Der Skriptcode setzt voraus, dass

Wie schlecht ist es in Swift, Variablen in Schleifen zu deklarieren?

Scarals Ich kenne nicht alle Swift-Mechaniken und weiß, wie sie mit Variablen umgehen. Ich habe es immer vorgezogen, Variablen vor der Eingabe einer foroder- whileSchleife zu deklarieren , unabhängig von der Sprache, anstatt sie immer wieder innerhalb der Schl

Wie trainiere ich ein Modell für OCR mit CreateML richtig? Meins ist nicht nur schlecht, es ist absolut wertlos

Maxim Volgin Ich habe einen Datensatz mit 1 generierten Trainingsbild pro Buchstabe und ungefähr 10 realen Testbildern pro Buchstabe erstellt. Alle von ihnen sind 10x14px, schwarz-weiß (in der Vorverarbeitungsphase gut binärisiert). Das resultierende Modell er

Wie kopiere ich Code von Visual Studio nach MS Word mit JEDEM Highlight genau so wie es ist?

Zablas Ich erstelle einen Bericht über mein Programm und muss den gesamten Code in ein MS-Dokument kopieren. Das Problem ist, dass ich jede Farbe so lassen muss, wie sie ist. Ich habe versucht, Notepad ++ für diesen und Online-Konverter zu verwenden, aber es s

Wie schlecht ist es aus OOP-Sicht, Objekte mit festen Zuständen zu haben?

CO Ich bin also etwas verwirrt über das, was ich über objektorientierte Programmierung gelesen habe. Ich erkannte, dass ich, während ich mich auf die Regel konzentrierte, dass jedes Objekt nur eines tut, eine Klasse erstellte, die keinen sich ändernden Zustand

Wie schlecht ist es, den Prozess in ENTRYPOINT an den Verbraucher weiterzuleiten?

user11810894 Wie schlimm wäre es, so etwas in einer Docker-Datei zu verwenden: ENTRYPOINT node . | tee >(send_logs_to_elastic_search) Die meisten Protokollierungslösungen erfordern eine ziemlich unangenehme Konfiguration. Das Obige wäre eine Möglichkeit für u

Wie soll ich ein Zertifikat mit HttpClient verwenden?

Torben Nielsen Ich muss eine Web-API von einem unserer Partner verwenden. Ihre API erfordert, dass ich ein Zertifikat verwende, um eine Verbindung herzustellen. Ich möchte das Zertifikat nicht auf unseren Servern (VMs) installieren. Das ist kontraproduktiv für

Wie behebe ich diesen RCurl-Fehler: "Problem mit dem SSL-Zertifikat: Zertifikat ist abgelaufen"?

greg42627 Ich versuche nur, eine einfache URL-Antwort unten zu erhalten, und es wird der folgende Fehler angezeigt. Die Website ist gültig und ich konnte sie in der Vergangenheit tausende Male abrufen. jsonString <- getURL(full_url) Error in function (type, m

Wie schlecht ist es für Domänenmodelle, von Ansichtsmodellen abhängig zu sein?

Dean Ich habe Code geerbt, der noch in Arbeit ist. Ich denke, es hat ein eklatantes Architekturproblem: Es hat ein Projekt, das alle Domänenentitäten enthält (Domänenschicht), und ein Projekt, das alle Anwendungsdienste enthält (Anwendungsschicht). Die Anwendu

Ist es schlecht, UnityContainer in Fabriken zu verwenden?

Hoffnungslos Habe einen Code: class MyFactory : IMyFactory { private IUnityContainer _container; public MyFactory(IUnityContainer container) { _container = container; } public IMyInterface Create() { _container.Resolve

Wie erstelle ich ein X509-Zertifikat, das die Ausnahme "Servermodus-SSL muss Zertifikat mit zugehörigem privatem Schlüssel verwenden" verhindert?

Michael van Oosterhout Ich versuche, eine X.509-Zertifikatsdatei zu erstellen, die mit dem folgenden Code aus dem smtp4dev- Projekt funktioniert : var certificate = new X509Certificate(Settings.Default.SSLCertificatePath); var clientCertificateRequired = false

Privates Zertifikat anfordern ist deaktiviert: Wie kommt es?

Phat Ich versuche, ein privates Zertifikat über den AWS Certificate Manager zu generieren, aber anscheinend kann ich nur ein öffentliches anfordern. Ist dafür eine Genehmigung erforderlich? Mein Konto sollte vollen Zugriff auf alles haben... Ivan Schumov Nein,

Wie erstelle ich ein selbstsigniertes SSL-Zertifikat mit OpenSSL?

michelemarcon Ich füge HTTPS-Unterstützung zu einem eingebetteten Linux-Gerät hinzu. Ich habe versucht, mit diesen Schritten ein selbstsigniertes Zertifikat zu generieren: openssl req -new > cert.csr openssl rsa -in privkey.pem -out key.pem openssl x509 -in ce

Wie geht man mit mehreren Observablen um, wenn es egal ist, ob einige versagen?

Brett Ich muss beim Start einer Seite mehrere Observables abonnieren und vor dem Start warten, bis alle Antworten vorliegen. Das erste, was ich sah, war der Forkjoin, aber er schlägt fehl, wenn eine innere Observable einen Fehler wirft und ich den Wert der and

Wie Verwenden von Httpclient mit jedem SSL-Zertifikat, egal wie „schlecht“ es ist

Verwandte Artikel

Liste