いくつかのJDKを使用したJava TLS接続のリセット

Question

OWASP依存性チェックプロジェクトには、開かれたチケット（#561）があります。このチケットは再現できないか、何が起こっているのかを正確に把握できません。 OpenJDKを使用している一部のシステムでは、NVD CVEデータフィード（https://nvd.nist.gov/download/nvdcve-Modified.xml.gz）へのHTTPS接続が失敗します。具体的には、java.net.SocketException: Connection resetで失敗します。自分が所有しているシステムで問題を再現することができませんでした。JRE/JDKのインストールは、自分のシステム（ibm、oracle、open jdk）で動作するようです。

TLS接続が失敗したシステムからのSSLデバッグログの要点はhereです。いくつかのインストールでHTTPSのダウンロードに失敗した理由を誰かに知らせることができますか？ OpenJDKに問題があり、Oracle JDKをインストールすると、ダウンロードが機能します。

ありがとうございます！

--jeremy

Answer 1

ssllabs testによると、サイトは、唯一のダウンロードに使用nvd.nist.govほんのわずかな暗号でTLS1.1とTLS1.2をサポートしています。

• TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384（0xc028）
• TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA（0xc014）
• TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256（0xc027）
• TLS_ECDHE_RSA_WITH_AES_128_CBC_ SHA（0xc013）

この情報をログに記録すると、前述の各暗号スイートごとに、「使用できない暗号スイートを無視しています」というメッセージが表示されます。

したがって、サーバーとクライアントに共通の暗号がなく、TLS接続を暗号化するために使用できるため、接続は常に失敗します。

私の見解では、使用されたOpenJDKが楕円曲線サポートなしでコンパイルされたか、またはこれらの暗号の使用を禁止する無効な設定があると思います。

したがって、使用されているOpenJDKバージョンの構成またはビルドの問題です。

編集：も、次の質問が関連している可能性があり：好奇心のうち

• ECDHE cipher suites not supported on OpenJDK 8 installed on EC2 Linux machine