Java SSLException：証明書のホスト名が一致しません

Question

次のコードを使用して、Googleのサービスに接続しています。このコードは私のローカルマシン上でうまく働いた：

HttpClient client=new DefaultHttpClient(); 
HttpPost post = new HttpPost("https://www.google.com/accounts/ClientLogin"); 
post.setEntity(new UrlEncodedFormEntity(myData)); 
HttpResponse response = client.execute(post); 

私はGoogle.comをブロックしていた本番環境でこのコードを置きます。リクエストに応じて、GoogleのIPの1つであるIP：74.125.236.52にアクセスできるようにして、Googleサーバーとの通信を許可しました。私はホストファイルを編集してこのエントリも追加しました。

まだ私はURLにアクセスできませんでした。なぜそれが不思議ですか？だから、私は上記のコードを置き換える：

javax.net.ssl.SSLException：

HttpPost post = new HttpPost("https://74.125.236.52/accounts/ClientLogin"); 

は今、私はこのようなエラーが出る証明書内のホスト名が一致しませんでした： <74.125.236.52>！= <www.google.com>

私は、Googleが複数のIPアドレスを持っているので、これがあると思います。ネットワーク管理者にこれらすべてのIPへのアクセスを許可することはできません。このリスト全体を取得することさえできないかもしれません。

どうすればいいですか？ Javaレベルで回避策がありますか？それとも、それはネットワークの人の手に完全に入っていますか？

Answer 1

ありがとうVineet Reynolds。あなたが提供したリンクには、多くのユーザーのコメントがありました。そのうちの1つは、私が絶望的に​​試みたもので、助けになりました。私はこの方法を追加しました：

// Do not do this in production!!! 
HttpsURLConnection.setDefaultHostnameVerifier(new HostnameVerifier(){ 
    public boolean verify(String string,SSLSession ssls) { 
     return true; 
    } 
}); 

これは私にとって今のところうまくいくようですが、この解決法は一時的なものです。私はなぜ私のホストファイルが無視されているのかを知るためにネットワークの人々と協力しています。

Answer 2

証明書の確認プロセスでは、クライアントが使用するURLのサーバーのホスト名を使用して、サーバーによって提示された証明書のDNS名が常に検証されます。

次のコード

HttpPost post = new HttpPost("https://74.125.236.52/accounts/ClientLogin"); 

は、サーバが発行した証明書の共通名、即ちwww.google.com、すなわち74.125.236.52ホスト名と一致するかどうかを検証する証明書検証プロセスをもたらすであろう。明らかに、これは失敗に結びついています（ブラウザでURL https://74.125.236.52/accounts/ClientLoginをブラウズして確認し、結果のエラーを自分自身で確認できます）。

おそらく、安全のために、自分自身を書くのを躊躇しています（安全なものを書く方法を理解していない場合は気にしません）。データセンターにDNSレコードを設定して、 www.google.comへのすべてのルックアップは74.125.236.52に解決されます。これはあなたのローカルDNSサーバまたはあなたのOSのhostsファイルで行われるべきです。他のドメインにもエントリを追加する必要があります。言うまでもなく、これがあなたのISPから返されたレコードと一貫していることを確認する必要があります。

Answer 3

hereのようにHostnameVerifierを設定することもできます。これは私がこのエラーを回避するために働いた。

// Do not do this in production!!! 
HostnameVerifier hostnameVerifier = org.apache.http.conn.ssl.SSLSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER; 

DefaultHttpClient client = new DefaultHttpClient(); 

SchemeRegistry registry = new SchemeRegistry(); 
SSLSocketFactory socketFactory = SSLSocketFactory.getSocketFactory(); 
socketFactory.setHostnameVerifier((X509HostnameVerifier) hostnameVerifier); 
registry.register(new Scheme("https", socketFactory, 443)); 
SingleClientConnManager mgr = new SingleClientConnManager(client.getParams(), registry); 
DefaultHttpClient httpClient = new DefaultHttpClient(mgr, client.getParams()); 

// Set verifier  
HttpsURLConnection.setDefaultHostnameVerifier(hostnameVerifier); 

// Example send http request 
final String url = "https://encrypted.google.com/"; 
HttpPost httpPost = new HttpPost(url); 
HttpResponse response = httpClient.execute(httpPost); 

Answer 4

懸念しているのは、ALLOW_ALL_HOSTNAME_VERIFIERを使用しないことです。

私は自分のホスト名検証プログラムを実装しますか？

class MyHostnameVerifier implements org.apache.http.conn.ssl.X509HostnameVerifier 
{ 
    @Override 
    public boolean verify(String host, SSLSession session) { 
     String sslHost = session.getPeerHost(); 
     System.out.println("Host=" + host); 
     System.out.println("SSL Host=" + sslHost);  
     if (host.equals(sslHost)) { 
      return true; 
     } else { 
      return false; 
     } 
    } 

    @Override 
    public void verify(String host, SSLSocket ssl) throws IOException { 
     String sslHost = ssl.getInetAddress().getHostName(); 
     System.out.println("Host=" + host); 
     System.out.println("SSL Host=" + sslHost);  
     if (host.equals(sslHost)) { 
      return; 
     } else { 
      throw new IOException("hostname in certificate didn't match: " + host + " != " + sslHost); 
     } 
    } 

    @Override 
    public void verify(String host, X509Certificate cert) throws SSLException { 
     throw new SSLException("Hostname verification 1 not implemented"); 
    } 

    @Override 
    public void verify(String host, String[] cns, String[] subjectAlts) throws SSLException { 
     throw new SSLException("Hostname verification 2 not implemented"); 
    } 
} 

共有サーバーでホストされているhttps://www.rideforrainbows.org/に対してテストしましょう。

public static void main (String[] args) throws Exception { 
    //org.apache.http.conn.ssl.SSLSocketFactory sf = org.apache.http.conn.ssl.SSLSocketFactory.getSocketFactory(); 
    //sf.setHostnameVerifier(new MyHostnameVerifier()); 
    //org.apache.http.conn.scheme.Scheme sch = new Scheme("https", 443, sf); 

    org.apache.http.client.HttpClient client = new DefaultHttpClient(); 
    //client.getConnectionManager().getSchemeRegistry().register(sch); 
    org.apache.http.client.methods.HttpPost post = new HttpPost("https://www.rideforrainbows.org/"); 
    org.apache.http.HttpResponse response = client.execute(post); 
    java.io.InputStream is = response.getEntity().getContent(); 
    java.io.BufferedReader rd = new java.io.BufferedReader(new java.io.InputStreamReader(is)); 
    String line; 
    while ((line = rd.readLine()) != null) { 
     System.out.println(line); 
    } 
} 

SSLException：スレッドで

例外 "メイン" javax.net.ssl.SSLExceptionは：証明書内のホスト名が一致しませんでした！www.rideforrainbows.org = stac.rt.sg OR org.apache.http.conn.ssl.AbstractVerifier.verify（AbstractVerifier.java:231）でstac.rt.sg OR www.stac.rt.sg
MyHostnameVerifierで
...

います：

の

public static void main (String[] args) throws Exception { 
    org.apache.http.conn.ssl.SSLSocketFactory sf = org.apache.http.conn.ssl.SSLSocketFactory.getSocketFactory(); 
    sf.setHostnameVerifier(new MyHostnameVerifier()); 
    org.apache.http.conn.scheme.Scheme sch = new Scheme("https", 443, sf); 

    org.apache.http.client.HttpClient client = new DefaultHttpClient(); 
    client.getConnectionManager().getSchemeRegistry().register(sch); 
    org.apache.http.client.methods.HttpPost post = new HttpPost("https://www.rideforrainbows.org/"); 
    org.apache.http.HttpResponse response = client.execute(post); 
    java.io.InputStream is = response.getEntity().getContent(); 
    java.io.BufferedReader rd = new java.io.BufferedReader(new java.io.InputStreamReader(is)); 
    String line; 
    while ((line = rd.readLine()) != null) { 
     System.out.println(line); 
    } 
} 

ショー：

ホスト= www.rideforrainbows.org
SSLホスト= www.rideforrainbows.org

少なくとも私は（ホストを比較するロジックを持っている== SSLホスト）を返し、trueを返します。

上記のソースコードは、httpclient-4.2.3.jarおよびhttpclient-4.3.3.jarで動作しています。 HTTPClientの-4.3.3.jarで

Answer 5

、別のHttpClientを使用することがあります：。

public static void main (String[] args) throws Exception { 
    // org.apache.http.client.HttpClient client = new DefaultHttpClient(); 
    org.apache.http.client.HttpClient client = HttpClientBuilder.create().build(); 
    System.out.println("HttpClient = " + client.getClass().toString()); 
    org.apache.http.client.methods.HttpPost post = new HttpPost("https://www.rideforrainbows.org/"); 
    org.apache.http.HttpResponse response = client.execute(post); 
    java.io.InputStream is = response.getEntity().getContent(); 
    java.io.BufferedReader rd = new java.io.BufferedReader(new java.io.InputStreamReader(is)); 
    String line; 
    while ((line = rd.readLine()) != null) { 
     System.out.println(line); 
    } 
} 

このHttpClientBuilder.createは、（）（ビルド）はorg.apache.http.implを返します。 client.InternalHttpClient。それはこののホスト名に対応していないので、の問題と一致しません。

Answer 6

httpcliet4.3.3のよりクリーンなアプローチ（テスト環境のみ）は次のとおりです。

SSLConnectionSocketFactory sslsf = new SSLConnectionSocketFactory(sslContext,SSLConnectionSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER); 

CloseableHttpClient httpclient = HttpClients.custom().setSSLSocketFactory(sslsf).build(); 

Answer 7

私にも同様の問題がありました。私はAndroidのDefaultHttpClientを使用していました。私はHttpsURLConnectionがこの種の例外を処理できることを読んでいます。だから、HttpsURLConnectionからのベリファイアを使用するカスタムHostnameVerifierを作成しました。実装をカスタムHttpClientにラップしました。ここで

public class CustomHttpClient extends DefaultHttpClient { 

public CustomHttpClient() { 
    super(); 
    SSLSocketFactory socketFactory = SSLSocketFactory.getSocketFactory(); 
    socketFactory.setHostnameVerifier(new CustomHostnameVerifier()); 
    Scheme scheme = (new Scheme("https", socketFactory, 443)); 
    getConnectionManager().getSchemeRegistry().register(scheme); 
} 

はCustomHostnameVerifierクラスです：

public class CustomHostnameVerifier implements org.apache.http.conn.ssl.X509HostnameVerifier { 

@Override 
public boolean verify(String host, SSLSession session) { 
    HostnameVerifier hv = HttpsURLConnection.getDefaultHostnameVerifier(); 
    return hv.verify(host, session); 
} 

@Override 
public void verify(String host, SSLSocket ssl) throws IOException { 
} 

@Override 
public void verify(String host, X509Certificate cert) throws SSLException { 

} 

@Override 
public void verify(String host, String[] cns, String[] subjectAlts) throws SSLException { 

} 

}