Периодическая ошибка установления связи SSL с HTTP-сервером Apache

Периодическая ошибка установления связи SSL с HTTP-сервером Apache ⇐ JAVA

1 сообщение • Страница 1 из 1

Anonymous

Периодическая ошибка установления связи SSL с HTTP-сервером Apache

Цитата

Сообщение Anonymous » 24 июл 2024, 04:08

Я наблюдаю периодические ошибки установления связи SSL с клиентами Java и браузерами, обращающимися к сайту через HTTP-сервер Apache. Такое случается редко, но каждый день нарушает работу сборок и влияет на взаимодействие с пользователем. Сервер настроен на установку безопасного соединения, но не требует сертификата от клиента.

Я включил вывод отладки SSL как на тестовом клиенте Java, так и на сервер (см. ниже). Я наблюдаю, что всякий раз, когда возникает исключение установления связи, сервер, похоже, отправляет запрос на сертификат клиента. Я не понимаю, почему это вообще происходит и почему это происходит лишь спорадически. Когда он отправляет запрос на сертификат, ошибка возникает почти всегда, однако я также фиксировал запросы, в которых это удалось (возможно, в 1% случаев, а в 99% - неудачно).

Клиент использует Java 8 (1.8.0_31-b13), версия HTTP-сервера Apache — 2.2.19.

Вот фрагменты журналов:

1) Отрывок из конфигурации Apache

Код: Выделить всё

SSLProtocol ALL -SSLv2 -SSLv3
SSLCertificateFile
SSLCertificateChainFile 
SSLCACertificateFile 
SSLVerifyDepth 10
SSLVerifyClient none

Файлы .pem доступны для чтения всем.

2) Журнал клиента (строго сокращенный)

Код: Выделить всё

*** ClientHello, TLSv1.2
***
*** ServerHello, TLSv1
***
*** Certificate chain
***
*** Diffie-Hellman ServerKeyExchange
*** CertificateRequest
*** ServerHelloDone
*** Certificate chain
***
*** ClientKeyExchange, DH
*** Finished
***
...
main, WRITE: TLSv1 Handshake, length = 48
main, waiting for close_notify or alert: state 1
main, Exception while waiting for close java.net.SocketException: Software caused connection abort: recv failed
main, handling exception: java.net.SocketException: Software caused connection abort: recv failed
%% Invalidated:  [Session-1, TLS_DHE_RSA_WITH_AES_128_CBC_SHA]
main, SEND TLSv1 ALERT:  fatal, description = unexpected_message
...
main, WRITE: TLSv1 Alert, length = 32
main, Exception sending alert: java.net.SocketException: Software caused connection abort: socket write error
main, called closeSocket()

3) Журнал сервера (сокращенно)

Код: Выделить всё

[info] [client x.x.x.x] Connection to child 1 established (server XXX:443)
[info] Seeding PRNG with 0 bytes of entropy
[debug] ssl_engine_kernel.c(1866): OpenSSL: Handshake: start
[debug] ssl_engine_kernel.c(1874): OpenSSL: Loop: before/accept initialization
[debug] ssl_engine_io.c(1897): OpenSSL: read 11/11 bytes from BIO#82f6820 [mem: 82c5290] (BIO dump follows)
[debug] ssl_engine_io.c(1830): +-------------------------------------------------------------------------+
[debug] ssl_engine_io.c(1869): | 0000: XX XX XX XX XX XX XX XX-XX XX XX                 ...........      |
[debug] ssl_engine_io.c(1875): +-------------------------------------------------------------------------+
[debug] ssl_engine_io.c(1897): OpenSSL: read 245/245 bytes from BIO#82f6820 [mem: 82c529b] (BIO dump follows)
[debug] ssl_engine_io.c(1830): +-------------------------------------------------------------------------+
[debug] ssl_engine_io.c(1869): | 0000: XX XX XX XX XX XX XX XX-XX XX XX XX XX XX XX XX  ................ |
...
[debug] ssl_engine_io.c(1869): | 00f0: XX XX XX XX XX                                   .....            |
[debug] ssl_engine_io.c(1875): +-------------------------------------------------------------------------+
[debug] ssl_engine_kernel.c(1987): [client x.x.x.x] SSL virtual host for servername XXX found
[debug] ssl_engine_kernel.c(1874): OpenSSL: Loop: SSLv3 read client hello A
[debug] ssl_engine_kernel.c(1874): OpenSSL: Loop: SSLv3 write server hello A
[debug] ssl_engine_kernel.c(1874): OpenSSL: Loop: SSLv3 write certificate A
[debug] ssl_engine_kernel.c(1274): [client x.x.x.x] handing out temporary 1024 bit DH key
[debug] ssl_engine_kernel.c(1874): OpenSSL: Loop: SSLv3 write key exchange A
[debug] ssl_engine_kernel.c(1874): OpenSSL: Loop: SSLv3 write certificate request A
[debug] ssl_engine_kernel.c(1874): OpenSSL: Loop: SSLv3 flush data
[debug] ssl_engine_io.c(1897): OpenSSL: read 5/5 bytes from BIO#82f6820 [mem: 82c5290] (BIO dump follows)
[debug] ssl_engine_io.c(1830): +-------------------------------------------------------------------------+
[debug] ssl_engine_io.c(1869): | 0000: 16 03 01 00 8d                                   .....             |
[debug] ssl_engine_io.c(1875): +-------------------------------------------------------------------------+
[debug] ssl_engine_io.c(1897): OpenSSL: read 141/141 bytes from BIO#82f6820 [mem: 82c5295] (BIO dump follows)
[debug] ssl_engine_io.c(1830): +-------------------------------------------------------------------------+
[debug] ssl_engine_io.c(1869): | 0000: XX XX XX XX XX XX XX XX-XX XX XX XX XX XX XX XX  ................ |
...
[debug] ssl_engine_io.c(1869): | 0080: XX XX XX XX XX XX XX XX-XX XX XX XX XX           .............    |
[debug] ssl_engine_io.c(1875): +-------------------------------------------------------------------------+
[debug] ssl_engine_kernel.c(1884): OpenSSL: Write: SSLv3 read client certificate B
[debug] ssl_engine_kernel.c(1903): OpenSSL: Exit: error in SSLv3 read client certificate B
[debug] ssl_engine_kernel.c(1903): OpenSSL: Exit: error in SSLv3 read client certificate B
[info] [client x.x.x.x] SSL library error 1 in handshake (server XXX:443)
[info] SSL Library Error: 336105671 error:140890C7:SSL routines:SSL3_GET_CLIENT_CERTIFICATE:peer did not return a certificate No CAs known to server for verification?
[info] [client x.x.x.x] Connection closed to child 1 with abortive shutdown (server XXX:443)

В хороших случаях мы постоянно не видим «*** CertificateRequest» на клиенте и выводим такой результат на сервере.

Код: Выделить всё

[debug] ssl_engine_kernel.c(1987): [client x.x.x.x] SSL virtual host for servername XXX found
[debug] ssl_engine_kernel.c(1874): OpenSSL: Loop: SSLv3 read client hello A
[debug] ssl_engine_kernel.c(1874): OpenSSL: Loop: SSLv3 write server hello A
[debug] ssl_engine_kernel.c(1874): OpenSSL: Loop: SSLv3 write certificate A
[debug] ssl_engine_kernel.c(1274): [client x.x.x.x] handing out temporary 1024 bit DH key
[debug] ssl_engine_kernel.c(1874): OpenSSL: Loop: SSLv3 write key exchange A
[debug] ssl_engine_kernel.c(1874): OpenSSL: Loop: SSLv3 write server done A
[debug] ssl_engine_kernel.c(1874): OpenSSL: Loop: SSLv3 flush data
[debug] ssl_engine_io.c(1897): OpenSSL: read 5/5 bytes from BIO#82d82d8 [mem: 82c8790] (BIO dump follows)
[debug] ssl_engine_io.c(1830): +-------------------------------------------------------------------------+
[debug] ssl_engine_io.c(1869): | 0000: 16 03 01 00 86                                   .....            |
[debug] ssl_engine_io.c(1875): +-------------------------------------------------------------------------+
[debug] ssl_engine_io.c(1897): OpenSSL: read 134/134 bytes from BIO#82d82d8 [mem: 82c8795] (BIO dump follows)
[debug] ssl_engine_io.c(1830): +-------------------------------------------------------------------------+
[debug] ssl_engine_io.c(1869): | 0000: XX XX XX XX XX XX XX XX-XX XX XX XX XX XX XX XX  ................ |
...
[debug] ssl_engine_io.c(1869): | 0080: XX XX XX XX XX XX                                ......           |
[debug] ssl_engine_io.c(1875): +-------------------------------------------------------------------------+
[debug] ssl_engine_kernel.c(1874): OpenSSL: Loop: SSLv3 read client key exchange A

Код клиента Java:

Код: Выделить всё

URL url = new URL("https://...");
HttpsURLConnection connection = (HttpsURLConnection) url.openConnection();
connection.setRequestProperty("Authorization", "Basic " + DatatypeConverter.printBase64Binary((user + ":" + pass).getBytes(Charset.forName("UTF-8"))));
connection.setReadTimeout(60*1000);
connection.setUseCaches(false);
connection.connect();

Бегайте с

Код: Выделить всё

java -Djavax.net.ssl.trustStore=... -Djavax.net.ssl.trustStoreType=jks -Djavax.net.ssl.trustStorePassword=... -Djavax.net.debug=all ...

Вопросы:

Что заставляет сервер отправлять запрос сертификата, вызывая
Вывод «*** CertificateRequest» на клиенте?
Не препятствует ли параметр «SSLVerifyClient none» запросу сертификата?
Есть предложения, на что обратить внимание дальше?

Обновление. Я заметил, что клиент Java никогда не отображает ошибку при использовании Java 6. Проблема возникает в Java 7 и 8, а также в Chrome, Internet Explorer и Firefox. Кажется, это указывает на проблему с TLSv1.1 или TLSv1.2 (см. также https://serverfault.com/questions/51396 ... -in-apache " OpenSSL v1.0.1 имеет некоторые известные проблемы с TLSv1.2"). Я постараюсь хотя бы проверить, решит ли отключение TLSv1.1/2 в Java-клиенте проблему.

Подробнее здесь: https://stackoverflow.com/questions/380 ... ttp-server

1721783280

Anonymous

Я наблюдаю периодические ошибки установления связи SSL с клиентами Java и браузерами, обращающимися к сайту через HTTP-сервер Apache. Такое случается редко, но каждый день нарушает работу сборок и влияет на взаимодействие с пользователем. Сервер настроен на установку безопасного соединения, но не требует сертификата от клиента.

Я включил вывод отладки SSL как на тестовом клиенте Java, так и на сервер (см. ниже). Я наблюдаю, что всякий раз, когда возникает исключение установления связи, сервер, похоже, отправляет запрос на сертификат клиента. Я не понимаю, почему это вообще происходит и почему это происходит лишь спорадически. Когда он отправляет запрос на сертификат, ошибка возникает почти всегда, однако я также фиксировал запросы, в которых это удалось (возможно, в 1% случаев, а в 99% - неудачно).

Клиент использует Java 8 (1.8.0_31-b13), версия HTTP-сервера Apache — 2.2.19.

Вот фрагменты журналов:

1) Отрывок из конфигурации Apache

[code]SSLProtocol ALL -SSLv2 -SSLv3
SSLCertificateFile
SSLCertificateChainFile 
SSLCACertificateFile 
SSLVerifyDepth 10
SSLVerifyClient none
[/code]

Файлы .pem доступны для чтения всем.

2) Журнал клиента (строго сокращенный)

[code]*** ClientHello, TLSv1.2
***
*** ServerHello, TLSv1
***
*** Certificate chain
***
*** Diffie-Hellman ServerKeyExchange
*** CertificateRequest
*** ServerHelloDone
*** Certificate chain
***
*** ClientKeyExchange, DH
*** Finished
***
...
main, WRITE: TLSv1 Handshake, length = 48
main, waiting for close_notify or alert: state 1
main, Exception while waiting for close java.net.SocketException: Software caused connection abort: recv failed
main, handling exception: java.net.SocketException: Software caused connection abort: recv failed
%% Invalidated:  [Session-1, TLS_DHE_RSA_WITH_AES_128_CBC_SHA]
main, SEND TLSv1 ALERT:  fatal, description = unexpected_message
...
main, WRITE: TLSv1 Alert, length = 32
main, Exception sending alert: java.net.SocketException: Software caused connection abort: socket write error
main, called closeSocket()
[/code]

3) Журнал сервера (сокращенно)

[code][info] [client x.x.x.x] Connection to child 1 established (server XXX:443)
[info] Seeding PRNG with 0 bytes of entropy
[debug] ssl_engine_kernel.c(1866): OpenSSL: Handshake: start
[debug] ssl_engine_kernel.c(1874): OpenSSL: Loop: before/accept initialization
[debug] ssl_engine_io.c(1897): OpenSSL: read 11/11 bytes from BIO#82f6820 [mem: 82c5290] (BIO dump follows)
[debug] ssl_engine_io.c(1830): +-------------------------------------------------------------------------+
[debug] ssl_engine_io.c(1869): | 0000: XX XX XX XX XX XX XX XX-XX XX XX                 ...........      |
[debug] ssl_engine_io.c(1875): +-------------------------------------------------------------------------+
[debug] ssl_engine_io.c(1897): OpenSSL: read 245/245 bytes from BIO#82f6820 [mem: 82c529b] (BIO dump follows)
[debug] ssl_engine_io.c(1830): +-------------------------------------------------------------------------+
[debug] ssl_engine_io.c(1869): | 0000: XX XX XX XX XX XX XX XX-XX XX XX XX XX XX XX XX  ................ |
...
[debug] ssl_engine_io.c(1869): | 00f0: XX XX XX XX XX                                   .....            |
[debug] ssl_engine_io.c(1875): +-------------------------------------------------------------------------+
[debug] ssl_engine_kernel.c(1987): [client x.x.x.x] SSL virtual host for servername XXX found
[debug] ssl_engine_kernel.c(1874): OpenSSL: Loop: SSLv3 read client hello A
[debug] ssl_engine_kernel.c(1874): OpenSSL: Loop: SSLv3 write server hello A
[debug] ssl_engine_kernel.c(1874): OpenSSL: Loop: SSLv3 write certificate A
[debug] ssl_engine_kernel.c(1274): [client x.x.x.x] handing out temporary 1024 bit DH key
[debug] ssl_engine_kernel.c(1874): OpenSSL: Loop: SSLv3 write key exchange A
[debug] ssl_engine_kernel.c(1874): OpenSSL: Loop: SSLv3 write certificate request A
[debug] ssl_engine_kernel.c(1874): OpenSSL: Loop: SSLv3 flush data
[debug] ssl_engine_io.c(1897): OpenSSL: read 5/5 bytes from BIO#82f6820 [mem: 82c5290] (BIO dump follows)
[debug] ssl_engine_io.c(1830): +-------------------------------------------------------------------------+
[debug] ssl_engine_io.c(1869): | 0000: 16 03 01 00 8d                                   .....             |
[debug] ssl_engine_io.c(1875): +-------------------------------------------------------------------------+
[debug] ssl_engine_io.c(1897): OpenSSL: read 141/141 bytes from BIO#82f6820 [mem: 82c5295] (BIO dump follows)
[debug] ssl_engine_io.c(1830): +-------------------------------------------------------------------------+
[debug] ssl_engine_io.c(1869): | 0000: XX XX XX XX XX XX XX XX-XX XX XX XX XX XX XX XX  ................ |
...
[debug] ssl_engine_io.c(1869): | 0080: XX XX XX XX XX XX XX XX-XX XX XX XX XX           .............    |
[debug] ssl_engine_io.c(1875): +-------------------------------------------------------------------------+
[debug] ssl_engine_kernel.c(1884): OpenSSL: Write: SSLv3 read client certificate B
[debug] ssl_engine_kernel.c(1903): OpenSSL: Exit: error in SSLv3 read client certificate B
[debug] ssl_engine_kernel.c(1903): OpenSSL: Exit: error in SSLv3 read client certificate B
[info] [client x.x.x.x] SSL library error 1 in handshake (server XXX:443)
[info] SSL Library Error: 336105671 error:140890C7:SSL routines:SSL3_GET_CLIENT_CERTIFICATE:peer did not return a certificate No CAs known to server for verification?
[info] [client x.x.x.x] Connection closed to child 1 with abortive shutdown (server XXX:443)
[/code]

В хороших случаях мы постоянно не видим «*** CertificateRequest» на клиенте и выводим такой результат на сервере.

[code][debug] ssl_engine_kernel.c(1987): [client x.x.x.x] SSL virtual host for servername XXX found
[debug] ssl_engine_kernel.c(1874): OpenSSL: Loop: SSLv3 read client hello A
[debug] ssl_engine_kernel.c(1874): OpenSSL: Loop: SSLv3 write server hello A
[debug] ssl_engine_kernel.c(1874): OpenSSL: Loop: SSLv3 write certificate A
[debug] ssl_engine_kernel.c(1274): [client x.x.x.x] handing out temporary 1024 bit DH key
[debug] ssl_engine_kernel.c(1874): OpenSSL: Loop: SSLv3 write key exchange A
[debug] ssl_engine_kernel.c(1874): OpenSSL: Loop: SSLv3 write server done A
[debug] ssl_engine_kernel.c(1874): OpenSSL: Loop: SSLv3 flush data
[debug] ssl_engine_io.c(1897): OpenSSL: read 5/5 bytes from BIO#82d82d8 [mem: 82c8790] (BIO dump follows)
[debug] ssl_engine_io.c(1830): +-------------------------------------------------------------------------+
[debug] ssl_engine_io.c(1869): | 0000: 16 03 01 00 86                                   .....            |
[debug] ssl_engine_io.c(1875): +-------------------------------------------------------------------------+
[debug] ssl_engine_io.c(1897): OpenSSL: read 134/134 bytes from BIO#82d82d8 [mem: 82c8795] (BIO dump follows)
[debug] ssl_engine_io.c(1830): +-------------------------------------------------------------------------+
[debug] ssl_engine_io.c(1869): | 0000: XX XX XX XX XX XX XX XX-XX XX XX XX XX XX XX XX  ................ |
...
[debug] ssl_engine_io.c(1869): | 0080: XX XX XX XX XX XX                                ......           |
[debug] ssl_engine_io.c(1875): +-------------------------------------------------------------------------+
[debug] ssl_engine_kernel.c(1874): OpenSSL: Loop: SSLv3 read client key exchange A
[/code]

Код клиента Java:

[code]URL url = new URL("https://...");
HttpsURLConnection connection = (HttpsURLConnection) url.openConnection();
connection.setRequestProperty("Authorization", "Basic " + DatatypeConverter.printBase64Binary((user + ":" + pass).getBytes(Charset.forName("UTF-8"))));
connection.setReadTimeout(60*1000);
connection.setUseCaches(false);
connection.connect();
[/code]

Бегайте с

[code]java -Djavax.net.ssl.trustStore=... -Djavax.net.ssl.trustStoreType=jks -Djavax.net.ssl.trustStorePassword=... -Djavax.net.debug=all ...
[/code]

Вопросы:

[list]
[*]Что заставляет сервер отправлять запрос сертификата, вызывая
Вывод «*** CertificateRequest» на клиенте?
[*]Не препятствует ли параметр «SSLVerifyClient none» запросу сертификата?
[*]Есть предложения, на что обратить внимание дальше?
[/list]

[b]Обновление[/b]. Я заметил, что клиент Java никогда не отображает ошибку при использовании Java 6. Проблема возникает в Java 7 и 8, а также в Chrome, Internet Explorer и Firefox. Кажется, это указывает на проблему с TLSv1.1 или TLSv1.2 (см. также https://serverfault.com/questions/513961/how-to-disable-tls-1-1-1-2-in-apache " OpenSSL v1.0.1 имеет некоторые известные проблемы с TLSv1.2"). Я постараюсь хотя бы проверить, решит ли отключение TLSv1.1/2 в Java-клиенте проблему. 

Подробнее здесь: [url]https://stackoverflow.com/questions/38082320/intermittent-ssl-handshake-error-with-apache-http-server[/url]

Ответить Пред. тема След. тема

1 сообщение • Страница 1 из 1

Быстрый ответ

Заголовок:

Имя пользователя:

Изменение регистра текста:

Смайлики

Ещё смайлики…

К этому ответу прикреплено по крайней мере одно вложение.

Если вы не хотите добавлять вложения, оставьте поля пустыми. Можно прикреплять файлы, перетаскивая их в окно сообщения.

Максимально разрешённый размер вложения: 15 МБ.

Имя файла:

Комментарий к файлу:

Имя файла	Комментарий к файлу	Размер	Статус

Похожие темы

Ответы

Просмотры

Последнее сообщение

SSL: SSLV3_ALERT_HANDSHAKE_FAILURE Ошибка установления связи оповещения sslv3 (_ssl.c:833)

Последнее сообщение Anonymous « 17 окт 2024, 06:08
Добавлено в форуме Python

Anonymous » 17 окт 2024, 06:08 » в форуме Python

У меня есть простой клиент TLS на Python, работающий в Ubuntu 18.04 и openssl версии 1.1.0g. Клиент поддерживает один набор шифров. Я получаю сообщение об ошибке при попытке подключения к серверу TLS 1.0. Набор шифров не поддерживается сервером. Я...

0 Ответы

24 Просмотры

Последнее сообщение Anonymous
17 окт 2024, 06:08
Ошибка установления связи SSL при попытке подключения к MongoDB с помощью клиента Python

Последнее сообщение Anonymous « 07 ноя 2024, 11:01
Добавлено в форуме Python

Anonymous » 07 ноя 2024, 11:01 » в форуме Python

Я пытаюсь подключиться к моему общему кластеру MongoDB, но постоянно получаю следующую ошибку: Не удалось установить соединение SSL: ac-ascvkib-shard-00-02.hkzvmvh.mongodb.net:27017: An существующее соединение было принудительно закрыто удаленным...

0 Ответы

11 Просмотры

Последнее сообщение Anonymous
07 ноя 2024, 11:01
Ошибка установления связи SSL при попытке подключения к MongoDB с помощью клиента Python

Последнее сообщение Anonymous « 16 ноя 2024, 19:39
Добавлено в форуме Python

Anonymous » 16 ноя 2024, 19:39 » в форуме Python

Я пытаюсь подключиться к моему общему кластеру MongoDB, но постоянно получаю следующую ошибку: Не удалось установить соединение SSL: ac-ascvkib-shard-00-02.hkzvmvh.mongodb.net:27017: An существующее соединение было принудительно закрыто удаленным...

0 Ответы

15 Просмотры

Последнее сообщение Anonymous
16 ноя 2024, 19:39
Ошибка установления связи SSL при попытке подключения к MongoDB с помощью клиента Python

Последнее сообщение Anonymous « 17 ноя 2024, 21:14
Добавлено в форуме Python

Anonymous » 17 ноя 2024, 21:14 » в форуме Python

Я пытаюсь подключиться к моему общему кластеру MongoDB, но постоянно получаю следующую ошибку: Не удалось установить соединение SSL: ac-ascvkib-shard-00-02.hkzvmvh.mongodb.net:27017: An существующее соединение было принудительно закрыто удаленным...

0 Ответы

14 Просмотры

Последнее сообщение Anonymous
17 ноя 2024, 21:14
PHP PDO: SQLSTATE[08S01] SQLConnect: -829 [SAP][Драйвер ODBC][SQL Anywhere]Ошибка установления связи TLS

Последнее сообщение Гость « 22 сен 2023, 20:29
Добавлено в форуме Php

Гость » 22 сен 2023, 20:29 » в форуме Php

Наш поставщик баз данных недавно перешел на использование шифрования TLS. Наши соединения ODBC подключаются без проблем, однако PHP PDO выдает ошибку:

SQLSTATE SQLConnect: -829 TLS ошибка рукопожатия

Об этой функции подключения:

function...

0 Ответы

121 Просмотры

Последнее сообщение Гость
22 сен 2023, 20:29

Вернуться в «JAVA»