如何使用okhttp禁用SSLv3回退

Question

如何使用okhttp禁用SSLv3回退

4

我的安卓应用程序依赖于SNI以访问正确的服务器，因此它需要TLS，并且不支持SSLv3。我正在使用OkHttp和Retrofit，服务器日志表明TLS握手突然切换到SSLv3，并可能在很长一段时间内保持这种状态，由于缺乏服务器名称指示支持而导致重复的主机名验证失败。

我知道在某些情况下（哪些情况下？）OkHttp会停止使用TLS并切换到SSL作为后备，然而，在SNI的情况下，这是不可接受的，有没有办法禁用后备？

Apache日志示例：

[Wed May 07 18:00:12.799511 2014] [ssl:debug] [pid 20369:tid 140532403599104] ssl_engine_kernel.c(1891): [client <removed>:51431] AH02041: Protocol: TLSv1, Cipher: RC4-SHA (128/128 bits)
[Wed May 07 18:00:28.563170 2014] [ssl:debug] [pid 20455:tid 140532646553344] ssl_engine_kernel.c(1891): [client <removed>:51432] AH02041: Protocol: TLSv1, Cipher: RC4-SHA (128/128 bits)
[Wed May 07 18:00:45.884075 2014] [ssl:debug] [pid 20371:tid 140532445562624] ssl_engine_kernel.c(1891): [client <removed>:51433] AH02041: Protocol: TLSv1, Cipher: RC4-SHA (128/128 bits)
[Wed May 07 18:01:01.322657 2014] [ssl:debug] [pid 20455:tid 140532395206400] ssl_engine_kernel.c(1891): [client <removed>:51434] AH02041: Protocol: TLSv1, Cipher: RC4-SHA (128/128 bits)
[Wed May 07 18:01:18.361705 2014] [ssl:debug] [pid 20370:tid 140532462348032] ssl_engine_kernel.c(1891): [client <removed>:51435] AH02041: Protocol: TLSv1, Cipher: RC4-SHA (128/128 bits)
[Wed May 07 18:01:25.378294 2014] [ssl:debug] [pid 20371:tid 140532487526144] ssl_engine_kernel.c(1891): [client <removed>:51436] AH02041: Protocol: SSLv3, Cipher: RC4-SHA (128/128 bits)
[Wed May 07 18:01:40.807100 2014] [ssl:debug] [pid 20369:tid 140532445562624] ssl_engine_kernel.c(1891): [client <removed>:51437] AH02041: Protocol: SSLv3, Cipher: RC4-SHA (128/128 bits)
[Wed May 07 18:01:41.154782 2014] [ssl:debug] [pid 20371:tid 140532479133440] ssl_engine_kernel.c(1891): [client <removed>:51438] AH02041: Protocol: SSLv3, Cipher: RC4-SHA (128/128 bits)
[Wed May 07 18:01:56.695645 2014] [ssl:debug] [pid 20369:tid 140532504311552] ssl_engine_kernel.c(1891): [client <removed>:51439] AH02041: Protocol: SSLv3, Cipher: RC4-SHA (128/128 bits)
[Wed May 07 18:01:57.252515 2014] [ssl:debug] [pid 20455:tid 140532521096960] ssl_engine_kernel.c(1891): [client <removed>:51440] AH02041: Protocol: SSLv3, Cipher: RC4-SHA (128/128 bits)

- hdante

2个回答

4

提交一个功能请求，我们会为您处理。

- Jesse Wilson

3

这个有被实施吗？ - Dean Wild

嗨，Jesse，这个实现了吗？ - Firnaz

是的。多年前。 - Jesse Wilson

1

@JesseWilson，你是否考虑花点时间把你的“是的。几年前”的回答变成一个真正的回答呢？ - Giszmo

Dean Wild的答案包含新API，这是正确的答案！ - Jesse Wilson

网页内容由stack overflow 提供, 点击上面的

可以查看英文原文，
原文链接

- Dean Wild · Accepted Answer

由于上述功能请求，这已添加为配置选项，有关更多信息，请参见此处。

如果您想要一个严格/安全的客户端，不会回退到不安全的密码套件，请使用此ConnectionSpec：

client.setConnectionSpecs(Collections.singletonList(ConnectionSpec.MODERN_TLS));

或者您可以定义自己的ConnectionSpec：

    ConnectionSpec spec = new ConnectionSpec.Builder(ConnectionSpec.MODERN_TLS)  
        .tlsVersions(TlsVersion.TLS_1_2)
        .cipherSuites(
              CipherSuite.TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,
              CipherSuite.TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,
              CipherSuite.TLS_DHE_RSA_WITH_AES_128_GCM_SHA256)
        .build();  

    client.setConnectionSpecs(Collections.singletonList(spec));