SSLSocket忽略域不匹配
我正在从SSL Socket读取,但主机与证书不匹配(例如, host = "localhost" )。 我期待exception,但以下代码愉快地与远程服务器进行对话而没有任何问题。
try ( final Socket socket = SSLSocketFactory.getDefault().createSocket(host, port); final OutputStream os = socket.getOutputStream(); final InputStream is = socket.getInputStream()) { os.write(("HEAD / HTTP/1.1\r\nHost: " + host + "\r\nConnection: close\r\n\r\n").getBytes()); os.flush(); final byte[] bytes = new byte[1024]; int n; while ((n = is.read(bytes)) != -1) { System.out.print(new String(bytes, 0, n)); } System.out.println(); } catch (final IOException e) { // TODO Auto-generated catch block e.printStackTrace(); }
因此我尝试了另一种方法:
try { final HttpURLConnection conn = (HttpURLConnection) new URL("https://" + host + ":" + port + "/").openConnection(); try (InputStream is = conn.getInputStream()) { IOUtils.copy(is, System.out); } catch (final IOException e1) { try (InputStream es = conn.getErrorStream()) { if (es != null) { IOUtils.copy(es, System.out); } } } } catch (final IOException e) { // TODO Auto-generated catch block e.printStackTrace(); }
不幸的是我仍然没有得到SSLexception,只是日志中的WARN: 2013-07-31 16:02:27,182 WARN nio - javax.net.ssl.SSLException: Received fatal alert: certificate_unknown
如果证书不匹配,如何获取SSLexception?
SSL / TLS协议规范是模块化的,与用于validation远程主机的规范分离。 这些其他规范分为两类:validation证书本身是否可信(RFC 3280/5280)和validation证书中的身份(RFC 6125或RFC 2818 for HTTPS)。
JSSE在SSLSocket (或SSLEngine )API中集成了SSL协议和证书validation,但不处理标识符的validation(这同样重要)。
这主要是因为SSLSocket / SSLEngine可以应用于任何应用程序协议(例如HTTP,IMAP,SMTP,LDAP等),但validation标识符的规则有不同的规范(变化很小),直到RFC 6125(现在还很新)。
HttpsURLConnection处理两者,因为它还使用HostnameVerifier ,它遵循HTTPS规范(RFC 2818,第3.1节)。 这与SSLSocket / SSLEngine API分开完成。 对于其他协议,您可能需要实现协议规范所说的内容。
这就是说,自Java 7以来,有一种机制可以直接validation证书的身份,作为SSLSocket / SSLEngine API的一部分。
SSLParameters sslParams = new SSLParameters(); sslParams.setEndpointIdentificationAlgorithm("HTTPS"); sslSocket.setSSLParameters(sslParams);
如果主机名不匹配,使用它应该使它抛出exception。
HTTPS与RFC 6125中更统一的规范之间没有重大差异(除了后者认为IP地址超出范围)。 即使您没有使用HTTPS,将其标识规范用于其他协议通常仍然有意义。 (也许“RFC 6125”端点识别算法可能会出现在Java的更高版本中。)
主机名匹配不是SSL的一部分,它是HTTPS的一部分。 请参阅javax.net.ssl.HostnameVerifier。
您引用的日志表示HttpsURLConnection抛出了SSLException。