java - 为什么 HttpsURLConnection.getServer Certificates() 在 Java 6 和 Java 7 中返回不同的结果？

Question

我有这样的代码:

    // configure the SSLContext with a TrustManager
    SSLContext ctx = SSLContext.getInstance("TLS");
    ctx.init(new KeyManager[0], 
             new TrustManager[] {new DefaultTrustManager()}, 
             new SecureRandom());
    SSLContext.setDefault(ctx);

    URL url = new URL(urlString); // https://abc.myhost.com
    HttpsURLConnection conn = (HttpsURLConnection) url.openConnection();
    conn.setHostnameVerifier(new HostnameVerifier() {
            @Override
            public boolean verify(String arg0, SSLSession arg1) {
                System.out.println("verify:" + arg0);
                return true;
            }
        });

    System.out.println("HTTP status: " + conn.getResponseCode());
    Certificate[] certs = conn.getServerCertificates();
    int c=0;
    for (Certificate cert : certs){
        String t = cert.getType();
        System.out.println(String.format("\ncert[%d]: %s",c,t));
        c++;
        if (pi.verbose) {
            System.out.println(cert);
        }
        else if (cert instanceof X509Certificate) {
            X509Certificate x509cert = (X509Certificate) cert;
            System.out.println(x509cert.getSubjectDN().getName());
        }
    }

针对特定网站运行此代码，在 Java 6 上，我获得了与 Java 7 不同的证书。假设主机名是 abc.myhost.com。

在 Java6 上我得到:

cert[0]: X.509
CN=example.com,OU=Secure Link SSL Pro,O=Company Name Here, 
    STREET=2001 Space Odyssey Dr,L=Weirton,ST=Wv,2.5.4.17=#13053330303034,C=US

在 Java7 上我得到:

cert[0]: X.509
CN=abc.myhost.com,OU=Secure Link SSL Pro,O=Company Name Here, 
    STREET=2001 Space Odyssey Dr,L=Weirton,ST=Wv,2.5.4.17=#13053330303034,C=US

如果我打印出有效日期，它们也会不同。序列号也是如此。这些是不同的证书。

在 Java 7 上看起来不错；在 Java 6 上，主机名和 CN 之间存在分歧。证书看起来不对。

这台服务器完全有可能在代理后面。该服务器的所有者(我正在从事的项目中的合作伙伴)也有可能最近更改了证书。可能有 2 个证书，一个在代理服务器上，一个在代理服务器后面的服务器上。我让他们调查这个。

我的问题是，为什么我不能在 Java7 上获得与在 Java6 上相同的结果？ Java 是否更改了 HttpsURLConnection.getServerCertificates() 中的某些内容？ ？

---

出于好奇，这只是一项诊断工作。真正的错误是:

javax.net.ssl.SSLHandshakeException: java.security.cert.CertificateException: 
    No subject alternative DNS name matching abc.myhost.com found.

这种情况下的问题通常是证书中的主机名和 CN 不一致。我已经验证了分歧，但仅限于 Java 6。我想了解为什么 Java6 和 Java7 不同。

---

编辑:a Python 2.7.1 script返回与 Java6 相同的证书。SSLConnection.get_peer_cert() 向我显示了 CN 不匹配的证书。

Answer 1

我怀疑这是由于 Java 7 客户端引入了服务器名称指示支持。

SNI 允许客户端在 SSL/TLS 初始请求中指定主机名，特别是能够在具有不同证书的同一 IP 地址/端口上托管多个主机名(Apache Httpd 称之为基于名称的虚拟主机) ).在 SSL/TLS 握手期间知道请求的主机名允许服务器在使用任何 HTTP 流量之前为正确的证书提供服务器(HTTP Host header 用于 HTTP 级别，但为时已晚HTTPS)。

当客户端不支持时，服务器不知道客户端真正需要哪个主机名，通常会回退到默认主机值并提供默认证书。

(请注意，在 Win XP 和可能的某些移动浏览器上使用任何版本的 IE 都会遇到同样的问题。)

编辑:在您编辑之后(URL url = new URL(urlString);//https://abc.myhost.com)。

这似乎证实了 SNI 问题。 (您可以使用 Wireshark 检查 TLS Client Hello 消息中是否有服务器名称扩展。)

使用 Java 7 和任何支持 SNI 的客户端，当请求 https://abc.myhost.com 时，您确实会获得对 abc.myhost.com 有效的证书> (假设服务器配置正确)，因为 HttpsURLConnection 还告诉 JSSE(Java SSL/TLS 堆栈)使用服务器名称扩展并使用主机名启动 SSL/TLS 连接那个网址。

使用 Java 6 和任何不支持 SNI 的客户端(Python 2.7，至少没有其他库)，您将获得服务器在连接到该 IP 地址和端口时默认提供的证书。

它与 HttpsURLConnection.getServerCertificates() 或 SSLConnection.get_peer_cert() 无关。相反，这是因为服务器希望客户端支持 SNI，而一些较旧的客户端/平台则不支持。

如果您需要在 Windows XP 上支持 Java 6、Python 2.x、Internet Explorer(或其他使用默认 MS API 的客户端)，您将无法使用 SNI。在这种情况下，您应该联系服务器管理员更改配置以不使用 SNI(如果需要这些多个主机，可能需要额外的 IP 地址)。