Java 6上的TLS 1.2

Question

我有一个在Java 6上运行的旧版应用程序。但是，由于某些安全因素，我们需要升级到TLS 1.2。为此，我尝试了以下代码：

import java.io.BufferedReader;
import java.io.IOException;
import java.io.InputStreamReader;
import java.net.URL;
import java.net.UnknownHostException;
import java.security.KeyManagementException;
 import java.security.NoSuchAlgorithmException;
 import java.util.Arrays;
 import javax.net.ssl.HttpsURLConnection;
 import javax.net.ssl.SSLContext;
 import javax.net.ssl.SSLParameters;

public class TlsCheck {

/**
 * test whether this client can connect to TLS v1.2 or not
 */

public static boolean isSuccessfulTLS12connection(){
    try{
        SSLContext sslContext = SSLContext.getInstance("TLS");
        sslContext.init(null, null, null);
        HttpsURLConnection.setDefaultSSLSocketFactory(sslContext.getSocketFactory());

        URL url = new URL("https://tlstest.paypal.com");
        HttpsURLConnection httpsConnection = (HttpsURLConnection)url.openConnection();
        httpsConnection.connect();
        BufferedReader reader = new BufferedReader(new InputStreamReader(httpsConnection.getInputStream()));
        StringBuilder body = new StringBuilder();
        while(reader.ready()){
            body.append(reader.readLine());
        }
        httpsConnection.disconnect();
        System.out.println("The body is::"+body.toString());
        if(body.toString().equals("PayPal_Connection_OK")){
            return true;
        }
    }catch(NoSuchAlgorithmException ne){
        ne.printStackTrace();
    }catch(UnknownHostException ue){
        ue.printStackTrace();
    }catch(IOException ioe){
        ioe.printStackTrace();
    }catch(KeyManagementException ke){
        ke.printStackTrace();
    }
    return false;
}

public static void main(String args[]){
    try{
        SSLParameters sslParams = SSLContext.getDefault().getSupportedSSLParameters();
        System.setProperty("https.protocols", "TLSv1,TLSv1.1,TLSv1.2");
        sslParams.setProtocols(new String[] { "TLSv1.2"});
        String[] protocols = sslParams.getProtocols();
        System.out.println("The Supported Protocols are::"+Arrays.asList(protocols));

    }catch(NoSuchAlgorithmException ne){
        ne.printStackTrace();
    }

    if(isSuccessfulTLS12connection()){
        System.out.println("The connection to TLS v1.2 endpoint is succesful");
    }else{
        System.out.println("The connection to TLS v1.2 failed!");
    }
}

}

但我得到以下错误：

  The Supported Protocols are::[TLSv1.2]
  javax.net.ssl.SSLException: Received fatal alert: protocol_version
  The connection to TLS v1.2 failed!
  at com.sun.net.ssl.internal.ssl.Alerts.getSSLException(Unknown Source)
  at com.sun.net.ssl.internal.ssl.Alerts.getSSLException(Unknown Source)
  at com.sun.net.ssl.internal.ssl.SSLSocketImpl.recvAlert(Unknown Source)
  at com.sun.net.ssl.internal.ssl.SSLSocketImpl.readRecord(Unknown Source)
  at com.sun.net.ssl.internal.ssl.SSLSocketImpl.performInitialHandshake(Unknown Source)
  at com.sun.net.ssl.internal.ssl.SSLSocketImpl.startHandshake(Unknown Source)
  at com.sun.net.ssl.internal.ssl.SSLSocketImpl.startHandshake(Unknown Source)
  at sun.net.www.protocol.https.HttpsClient.afterConnect(Unknown Source)
  at sun.net.www.protocol.https.AbstractDelegateHttpsURLConnection.connect(Unknown Source)
  at sun.net.www.protocol.https.HttpsURLConnectionImpl.connect(Unknown Source)
  at TlsCheck.isSuccessfulTLS12connection(TlsCheck.java:30)
  at TlsCheck.main(TlsCheck.java:65)

有人可以提出比设置财产更好的方法吗？我也尝试设置JVM参数，但是没有运气！

Answer 1

真正的解决办法？升级到Java 1.7或更高版本。继续运行Java 1.6 Update 45并将其连接到Internet绝对是鲁re的。

多么鲁ck？非常。

因为Oracle发布了Java 1.6 Update 45的重要补丁程序更新，该更新程序在四年前修复了40多个安全漏洞 。

在四年前修复的那些文件中：

• CVE-2013-2462成功攻击此漏洞可能导致未经授权的操作系统接管，包括任意代码执行。
• CVE-2013-2463易于利用的漏洞允许通过多种协议成功进行未经身份验证的网络攻击。成功攻击此漏洞可能导致未经授权的操作系统接管，包括任意代码执行。
• CVE-2013-2464易于利用的漏洞允许通过多种协议成功进行未经身份验证的网络攻击。成功攻击此漏洞可能导致未经授权的操作系统接管，包括任意代码执行。
• CVE-2013-2465易于利用的漏洞允许通过多种协议成功进行未经身份验证的网络攻击。成功攻击此漏洞可能导致未经授权的操作系统接管，包括任意代码执行。
• CVE-2013-2466易于利用的漏洞允许通过多种协议成功进行未经身份验证的网络攻击。成功攻击此漏洞可能导致未经授权的操作系统接管，包括任意代码执行。
• CVE-2013-2468易于利用的漏洞允许通过多种协议成功进行未经身份验证的网络攻击。成功攻击此漏洞可能导致未经授权的操作系统接管，包括任意代码执行。

还有另外六个漏洞等级为10.0的漏洞-这意味着它很容易利用的远程漏洞。

那只是关键的清单四年前Oracle实际上在Java 1.6 Update 45中修复安全漏洞。在那个补丁中仍然存在的更多未解决的问题。

而且您没有任何固定的解决方案。

重申一下：Java 1.6 Update 45中仍然存在这些漏洞- 还有很多其他漏洞。

再次：继续使用Java 1.6 Update 45并将其连接到Internet是鲁ck的。Java 1.6 Update 45 至少具有25（!!!）个已知的可远程利用的安全漏洞，CVE评分为9.3或更高。