Impact/Risk 在 Weblogic10.3.0 上启用 -DuseSunHttpHandler
Impact/Risk on enable -DuseSunHttpHandler on Weblogic10.3.0
我正在开发一个通过代理向第三方服务发出请求的应用程序。
我的应用程序是Weblogic10.3.0上的运行,遇到了BAD_CERTIFICATE异常的问题如下
javax.net.ssl.SSLKeyException: FATAL Alert:BAD_CERTIFICATE - A corrupt or unuseable certificate was received.
at com.certicom.tls.interfaceimpl.TLSConnectionImpl.fireException(Unknown Source)
at com.certicom.tls.interfaceimpl.TLSConnectionImpl.fireAlertSent(Unknown Source)
at com.certicom.tls.record.handshake.HandshakeHandler.fireAlert(Unknown Source)
at com.certicom.tls.record.handshake.HandshakeHandler.handleHandshakeMessages(Unknown Source)
at com.certicom.tls.record.MessageInterpreter.interpretContent(Unknown Source)
at com.certicom.tls.record.MessageInterpreter.decryptMessage(Unknown Source)
at com.certicom.tls.record.ReadHandler.processRecord(Unknown Source)
at com.certicom.tls.record.ReadHandler.readRecord(Unknown Source)
at com.certicom.tls.record.ReadHandler.readUntilHandshakeComplete(Unknown Source)
at com.certicom.tls.interfaceimpl.TLSConnectionImpl.completeHandshake(Unknown Source)
at com.certicom.tls.record.WriteHandler.write(Unknown Source)
at com.certicom.io.OutputSSLIOStreamWrapper.write(Unknown Source)
网上有很多建议说加上-DuseSunHttpHandler=true可以解决问题,因为第三方已经升级了他们的证书(128bit到256bit)。该解决方案工作正常,但是,现在手头的问题是我找不到明确说明 Certicom 仅支持最多 128 位的官方文章,为了解决它,我们需要启用 JSSE,据我了解,这是由 SunHttpHandler 使用。
这里的另一个问题是,"is there a known impact from using SunHttpHandler?"
我知道从 10.3.3 或 10.3.5 开始,Certicom 将被弃用并默认使用 JSSE,但目前无法升级 weblogic。
Microsoft 和 Google 宣布了 SHA-1 弃用计划,该计划可能会影响 SHA-1 证书最早将于 2015 年 12 月 31 日过期的网站。
可以使用不同的'hash algorithms'创建证书,包括
1) SHA1:160 位散列
2) SHA2:具有不同块大小的两个相似哈希函数系列,称为 SHA-256 和 SHA-512(这是一种较新的算法)
直到最近,WebLogic 才支持 SHA1 算法。但是从WebLogic 10.3.3开始,也支持SHA2算法了。
如果您希望使用具有 SHA2 哈希算法的证书,则需要启用 JSSE SSL(它信任更强大的证书,例如 SHA2)
Oracle 强烈建议您升级到最新的 WebLogic 维护包和最新的 JDK 补丁,因为 JSSE SSL 和较低的 WebLogic 维护包和 Java 补丁存在一些已知问题。
您应该至少使用 WebLogic 10.3.6
从 weblogic 11g(10.3.6) 开始支持 SHA2(SHA256 等),但证书仅适用于 JSSE 实现(-Dweblogic.security.SSL.enableJSSE=true)。
您可以在Oracle Metalink(support.oracle.com)上的官方文档中查看关于WebLogic SSL证书的常见问题解答(support.oracle.com)
我正在开发一个通过代理向第三方服务发出请求的应用程序。
我的应用程序是Weblogic10.3.0上的运行,遇到了BAD_CERTIFICATE异常的问题如下
javax.net.ssl.SSLKeyException: FATAL Alert:BAD_CERTIFICATE - A corrupt or unuseable certificate was received.
at com.certicom.tls.interfaceimpl.TLSConnectionImpl.fireException(Unknown Source)
at com.certicom.tls.interfaceimpl.TLSConnectionImpl.fireAlertSent(Unknown Source)
at com.certicom.tls.record.handshake.HandshakeHandler.fireAlert(Unknown Source)
at com.certicom.tls.record.handshake.HandshakeHandler.handleHandshakeMessages(Unknown Source)
at com.certicom.tls.record.MessageInterpreter.interpretContent(Unknown Source)
at com.certicom.tls.record.MessageInterpreter.decryptMessage(Unknown Source)
at com.certicom.tls.record.ReadHandler.processRecord(Unknown Source)
at com.certicom.tls.record.ReadHandler.readRecord(Unknown Source)
at com.certicom.tls.record.ReadHandler.readUntilHandshakeComplete(Unknown Source)
at com.certicom.tls.interfaceimpl.TLSConnectionImpl.completeHandshake(Unknown Source)
at com.certicom.tls.record.WriteHandler.write(Unknown Source)
at com.certicom.io.OutputSSLIOStreamWrapper.write(Unknown Source)
网上有很多建议说加上-DuseSunHttpHandler=true可以解决问题,因为第三方已经升级了他们的证书(128bit到256bit)。该解决方案工作正常,但是,现在手头的问题是我找不到明确说明 Certicom 仅支持最多 128 位的官方文章,为了解决它,我们需要启用 JSSE,据我了解,这是由 SunHttpHandler 使用。
这里的另一个问题是,"is there a known impact from using SunHttpHandler?" 我知道从 10.3.3 或 10.3.5 开始,Certicom 将被弃用并默认使用 JSSE,但目前无法升级 weblogic。
Microsoft 和 Google 宣布了 SHA-1 弃用计划,该计划可能会影响 SHA-1 证书最早将于 2015 年 12 月 31 日过期的网站。
可以使用不同的'hash algorithms'创建证书,包括
1) SHA1:160 位散列
2) SHA2:具有不同块大小的两个相似哈希函数系列,称为 SHA-256 和 SHA-512(这是一种较新的算法)
直到最近,WebLogic 才支持 SHA1 算法。但是从WebLogic 10.3.3开始,也支持SHA2算法了。
如果您希望使用具有 SHA2 哈希算法的证书,则需要启用 JSSE SSL(它信任更强大的证书,例如 SHA2)
Oracle 强烈建议您升级到最新的 WebLogic 维护包和最新的 JDK 补丁,因为 JSSE SSL 和较低的 WebLogic 维护包和 Java 补丁存在一些已知问题。 您应该至少使用 WebLogic 10.3.6
从 weblogic 11g(10.3.6) 开始支持 SHA2(SHA256 等),但证书仅适用于 JSSE 实现(-Dweblogic.security.SSL.enableJSSE=true)。
您可以在Oracle Metalink(support.oracle.com)上的官方文档中查看关于WebLogic SSL证书的常见问题解答(support.oracle.com)