1. ホーム
  2. 質問と答え
  3. javax.net.ssl、httpsクライアントおよびclose_notify

javax.net.ssl、httpsクライアントおよびclose_notify

2013-02-20 13 views
7

自己署名入り証明書を使用して、javax.net.sslを利用するSimple Nettyのhttpsサーバー実装。サーバーが起動した後、DHC by Restletを使用して要求が行われます。javax.net.ssl、httpsクライアントおよびclose_notify

io.netty.handler.ssl.SslHandler setHandshakeFailure WARNING::私が取得、サーバー側でSSLEngine.closeInbound()によりクローズ接続に例外が発生しました。 javax.net.ssl.SSLException:ピアのclose_notifyを受信する前に受信を閉じました:切り捨ての可能性がありますか? sun.security.ssl.Alerts.getSSLException(不明なソース)sun.security.ssl.SSLEngineImpl.fatalで (不明なソース)sun.security.ssl.SSLEngineImpl.fatalで (不明なソース) 日での 。 io.netty.handler.ssl.SslHandler.channelInactiveでio.netty.handler.ssl.SslHandler.setHandshakeFailure(SslHandler.java:905) でsecurity.ssl.SSLEngineImpl.closeInbound(不明なソース) (SslHandler.java:576 io.netty.channel.DefaultChannelHandlerContext $ 5.runでio.netty.channel.DefaultChannelHandlerContext.access $ 1300(DefaultChannelHandlerContext.java:38) でio.netty.channel.DefaultChannelHandlerContext.invokeChannelInactive(DefaultChannelHandlerContext.java:819) で) (DefaultChannelHandlerContext.j io.netty.channel.SingleThreadEventExecutor.runAllTask​​s(SingleThreadEventExecutor.java:259) at io.netty.channel.nio.NioEventLoop.run(NioEventLoop.java:305) at io.netty.channel。 SingleThreadEventExecutor java.lang.Thread.run(不明なソース)

で、クライアント側で$ 2.run(SingleThreadEventExecutor.java:110) :

応答がありません。証明書は有効ですか?確認するにはここをクリックしてください。

Chromeのアドレスバーで同じリクエストを発行する場合、同じサーバー側の例外が発生します。 Firefoxのアドレスバーにも同様の例外が発行されますが、Firefoxは信頼できるCAの証明書ではないという警告ページを表示しています。 この例外は非常に一般的で、プロトコルの状態がであることを直接示すものではありません。これら3人のクライアント(Chrome、Firefox、DHC by Restlet)が、プロトコルをうまく再生せず、close_notifyを送信するのではなくサーバー上で消えているということですか?またはSSL RFCまたはセキュリティ指向のクライアント側設計だけが要求するクライアント側の動作ですか?

出典

2013-02-20 matanster

+0

私が試したすべてのクライアントは、close_notifyの送信をスキップしたようです。おそらく、クライアントがただちに中止するのは良いことですが、詳細な理由が何であるかについてサーバーが少し困惑しています。 – matanster

+0

こんにちは。私はDev HTTP Clientからhttpsリクエストを作成しており、クライアント側で同じ状況になっています。どのように管理しましたか? –

+0

@AntonioAcevedo、信頼されていない証明書に接続すると、一般的なクライアントは次のように動作しているように見えます。接続を閉じてユーザーにプロンプ​​トを出します。したがって、すべてのサーバーはクライアントが消えていくのを見ますが、クライアントはその理由をサーバーに通知しません。これは、クライアントの視点から見れば安心感があります(セキュリティ問題が発生したときに最小限の情報量を第2者に配布することが良い方法です)。だから、この状況は「解決する」ことを必要とせず、与えられたものとしてのみ受け入れる。 – matanster

答えて

5

私はDHC by Restletチームと接触していると、彼らは私に回避策を言った:

Chromeは、証明書を管理するためのAPIを提供していません。つまり、証明書を自動的に受け入れるAPIもなく、「信頼できない証明書」ダイアログを表示する方法もありません。しかし、小さな回避策を使用することができます:

  1. 別のタブでhttps URLを開きます。
  2. 証明書を手動で受け入れます。
  3. DHCに戻ってください。前の手順で証明書が手動で承認された(Chromeに保存されている)ため、動作します。

通常、これは1回だけ行う必要があります。

出典

2013-07-10 15:57:05

+0

クールなソリューション。私はそれが自分自身の「自分自身の質問に答える」ように適合していると思います。元の質問はなぜであり、確かにclose_notifyが人気のあるクライアントによって送信されていないかどうかです...クールな回避策!助けてうれしい! – matanster

1

私はLinuxマシンにJavaのオープンJDKをインストールしていたときにこの問題に直面しました.JavaのバージョンをOracle JDKに変更したときにこの問題は消えました。

この例外をスローした正確なアプリケーションは、Information Workbench(fluid ops製品)であり、Javaバージョンは8 でした。fluid opsのシステムではprerequistsには言及されていません。

出典

2016-08-25 09:00:12

関連する問題

 関連する問題