0

出于某些测试原因,我需要强制客户端使用 SSLv3。SSLv3 是服务器中公认的协议。尝试使用 SSLContextBuilder.useProtocol("SSLv3") 强制如下:

SSLContextBuilder 启动如下:

    SSLContextBuilder builder = SSLContexts.custom();

    SSLContext sslContext = builder.useProtocol("SSLv3").build();

    SSLConnectionSocketFactory sslsf = new SSLConnectionSocketFactory(sslContext, new X509HostnameVerifier() {
        @Override
        public void verify(String host, SSLSocket ssl) throws IOException {
        }
     ....
     ....);
    return sslsf;
}

但是日志中的结果显示握手总是在 TLSv1 中进行:

....
....
Allow legacy hello messages: true
Is initial handshake: true
Is secure renegotiation: false
%% No cached client session
*** ClientHello, TLSv1
RandomCookie:  
GMT: 1503650935 
bytes = { 
255, 
....
....

我的理解是,客户端应该请求定义服务器是否接受的协议。在这种情况下,我希望看到客户端应该请求使用 SSLv3 而不是 TLSv1。

4

1 回答 1

1

这将迫使 HC 4.3 仅使用 SSLv3

SSLConnectionSocketFactory sslSocketFactory = new SSLConnectionSocketFactory(
        SSLContext.getDefault(), new String[] {"SSLv3"}, null, SSLConnectionSocketFactory.STRICT_HOSTNAME_VERIFIER);
CloseableHttpClient httpClient = HttpClients.custom()
        .setSSLSocketFactory(sslSocketFactory)
        .build();
于 2018-03-08T10:41:36.897 回答