80,349
社区成员
发帖
与我相关
我的任务
分享Android 6.0 HTTPS连接ssl3_get_server_key_exchange:BAD_DH_P_LENGTH错误问题
升级到中兴AXON Android6.0系统后客户端与服务器的HTTPS连接handshake报错:
error:100c1069:SSL routines:ssl3_get_server_key_exchange:BAD_DH_P_LENGTH (external/boringssl/src/ssl/s3_clnt.c:1193 0x7f8c3e8458:0x00000000)
经查是Tomcat服务器侧的SSL/TLS配置存在安全漏洞导致Android6.0上的BoringSSL报错,PS,Android6.0上Google用自家的BoringSSL替代了OpenSSL。
SSL/TLS握手过程中,假如选中了诸如TLS_DHE_RSA_WITH_AES_128_CBC_SHA这样使用deffie-hellman密钥的cipher,那么在deffie-hellman密钥交换过程中会使用的一个P参数(prime number),服务器侧提供的P参数在JDK8之前都只用了768bit的长度,小于1024bit存在安全漏洞可导致logjam attack,会被最新本版的浏览器和BoringSSL拒绝。
Tomcat修复该问题有两个选择,一是升级JDK到8,二是在server.xml的connector配置里显示声明使用哪些cipher来排除用到deffie-hellman密钥的,例如:
<Connector port="443" SSLEnabled="true" sslProtocol="TLS"
ciphers="TLS_RSA_WITH_AES_128_CBC_SHA256,
TLS_RSA_WITH_AES_128_CBC_SHA,
TLS_RSA_WITH_AES_256_CBC_SHA256,
TLS_RSA_WITH_AES_256_CBC_SHA,
SSL_RSA_WITH_3DES_EDE_CBC_SHA"
…… />
想深入了解到童鞋可参考
https://weakdh.org/
https://wiki.mozilla.org/Security/Server_Side_TLS
https://github.com/jvehent/cipherscan
error:100c1069:SSL routines:ssl3_get_server_key_exchange:BAD_DH_P_LENGTH (external/boringssl/src/ssl/s3_clnt.c:1193 0x7f8c3e8458:0x00000000)
经查是Tomcat服务器侧的SSL/TLS配置存在安全漏洞导致Android6.0上的BoringSSL报错,PS,Android6.0上Google用自家的BoringSSL替代了OpenSSL。
SSL/TLS握手过程中,假如选中了诸如TLS_DHE_RSA_WITH_AES_128_CBC_SHA这样使用deffie-hellman密钥的cipher,那么在deffie-hellman密钥交换过程中会使用的一个P参数(prime number),服务器侧提供的P参数在JDK8之前都只用了768bit的长度,小于1024bit存在安全漏洞可导致logjam attack,会被最新本版的浏览器和BoringSSL拒绝。
Tomcat修复该问题有两个选择,一是升级JDK到8,二是在server.xml的connector配置里显示声明使用哪些cipher来排除用到deffie-hellman密钥的,例如:
<Connector port="443" SSLEnabled="true" sslProtocol="TLS"
ciphers="TLS_RSA_WITH_AES_128_CBC_SHA256,
TLS_RSA_WITH_AES_128_CBC_SHA,
TLS_RSA_WITH_AES_256_CBC_SHA256,
TLS_RSA_WITH_AES_256_CBC_SHA,
SSL_RSA_WITH_3DES_EDE_CBC_SHA"
…… />
想深入了解到童鞋可参考
https://weakdh.org/
https://wiki.mozilla.org/Security/Server_Side_TLS
https://github.com/jvehent/cipherscan
...全文
请发表友善的回复…
发表回复
No_what_cant 2016-04-08
- 打赏
- 举报
配置客户端加密套件也是可以的
例如 okhttp
OkHttpClient okHttpClient = new OkHttpClient.Builder()
.connectTimeout(15, TimeUnit.SECONDS)
.readTimeout(15, TimeUnit.SECONDS)
.writeTimeout(15, TimeUnit.SECONDS)
.addNetworkInterceptor(new StethoInterceptor())
.followSslRedirects(true)
.connectionSpecs(Collections.singletonList(getConnectionSpec()))
.build();
private static ConnectionSpec getConnectionSpec() {
ConnectionSpec spec = new ConnectionSpec.Builder(ConnectionSpec.MODERN_TLS).tlsVersions(TlsVersion.TLS_1_0).cipherSuites(CipherSuite.TLS_RSA_WITH_AES_128_CBC_SHA256, CipherSuite.TLS_RSA_WITH_AES_128_CBC_SHA, CipherSuite.TLS_RSA_WITH_AES_256_CBC_SHA256, CipherSuite.TLS_RSA_WITH_AES_256_CBC_SHA, CipherSuite.TLS_RSA_WITH_3DES_EDE_CBC_SHA).build();
return spec;
}
沙僧 2016-03-17
- 打赏
- 举报
赞!!!!!!
就是第一眼没有看懂到底在说什么,后来我自己又总结了一下,
不过还是解决了
感谢
aa51513 2016-03-17
- 打赏
- 举报
我也遇到了这个问题,非常感谢大神指点,再次致敬
水上木_1 2015-12-30
- 打赏
- 举报
支持一下,正好解决我的问题
