8

I have a REST API written in Java running under JBoss. Recently we updated our JVM from 1.6 to 1.7. This started to cause issues with only our Python clients which were connecting. Intermittently, Python clients are getting handshake failures. We wrote a very simple test which reproduces the problem:

import httplib2

for i in range(1,500):
    print i
    response, content = httplib2.Http(disable_ssl_certificate_validation=True).request('https://server.com:8443',)

Give the following output:

.
.
.
64
65
66
67
Traceback (most recent call last):
  File "api_test/test.py", line 6, in <module>
    response, content = httplib2.Http(disable_ssl_certificate_validation=True).request('https://server.com:8443/rest/solidtumor/2012/id/50d3216c092c8554b8b9f384?glossary=true&api_key=APIKEY',)
  File "/home/hostovic/api_test/httplib2/__init__.py", line 1445, in request
    (response, content) = self._request(conn, authority, uri, request_uri, method, body, headers, redirections, cachekey)
  File "/home/hostovic/api_test/httplib2/__init__.py", line 1197, in _request
    (response, content) = self._conn_request(conn, request_uri, method, body, headers)
  File "/home/hostovic/api_test/httplib2/__init__.py", line 1133, in _conn_request
    conn.connect()
  File "/home/hostovic/api_test/httplib2/__init__.py", line 914, in connect
    raise SSLHandshakeError(e)
httplib2.SSLHandshakeError: [Errno 1] _ssl.c:490: error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure

The 67th call failed on this run through, but it fails at different times each time the test is run.

Our other clients (Java, Groovy and Ruby) work without any problem.

If I switch the JVM back to 1.6 the failures stop.

I did an openssl check using:

openssl s_client -connect server.com:8443

and it returned this:

New, TLSv1/SSLv3, Cipher is EDH-RSA-DES-CBC3-SHA
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : EDH-RSA-DES-CBC3-SHA
    Session-ID: 50E748EA341BB433EEBC7386C606313C2B8B86360ED71DC8F3B0A14A1579D91B
    Session-ID-ctx:
    Master-Key: 1007AC489D60FE2D818F71A5A6873D5BBF5B1770BEC31CDBF29D0562DB0D30A33D9EBBA8AD211B8E24B23494B20A6223
    Key-Arg   : None
    Krb5 Principal: None
    PSK identity: None
    PSK identity hint: None
    Start Time: 1357334762
    Timeout   : 300 (sec)
    Verify return code: 0 (ok)

Which seems correct, but I'm not sure. If it failed on every call it would be one thing, but it's really odd to only be failing a random times. Anyone seen this?

4

2 に答える 2

5

Python 2.6 で Tomcat 7 (Java 1.7) に接続すると、同じ断続的なエラーが発生します。

JVM を 1.7u1 から 1.7u6 にアップグレードしたときに、最初にこの問題が発生し始めました。この記事から、Java で暗号の優先順位が変更されたようです。

Java 7 および DH キーペアを生成できませんでした

JVM のアップグレード前は、SSL_RSA_WITH_3DES_EDE_CBC_SHA が SSL 通信に使用される優先暗号でした。アップグレード後、SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA が優先されます。95% の確率で、SSL 通信は問題ありません。しかし、あなたが説明したように、5%の確率で失敗します。

Python には Diffie-Hellman 暗号に問題があるようです。Python 3.3 には修正があります。

http://bugs.python.org/issue13626

私の現在の回避策は、Tomcat で有効になっている暗号から Diffie-Hellman 暗号を削除することです。Python 3.3 へのアップグレードは試していません。

于 2013-01-08T22:03:44.433 に答える
0

Java 6 から Java 7 にアップグレードした後も同じ問題が発生しています。

これを少しデバッグしたところ、Java 7 の DHE 暗号スイートの実装のバグであることが判明しました。DHE 暗号スイートの SSL ハンドシェイクの約 0.5% が失敗します。(これは Python とは関係ありません。このバグは、たとえば「openssl」コマンド ライン ツールでも再現できます。)

このバグを Oracle に報告しました。詳細については、 http://mail.openjdk.java.net/pipermail/security-dev/2013-May/007435.htmlを参照してください。その間、唯一の回避策は、DHE 暗号スイートを無効にすることです (いずれかの側で)。

于 2013-05-15T08:20:33.057 に答える