Quelles sont les conséquences sur la sécurité de réglage “jsse.enableSNIExtension” pour de faux?

J'ai actuellement une application qui permettrait de faire des requête HTTP post pour beaucoup d'URLs. Certains de l'échec de connexions avec l'exception suivante.

Exception in thread "main" javax.net.le protocole ssl.SSLProtocolException:
poignée de main d'alerte: unrecognized_name à
soleil.de sécurité.le protocole ssl.ClientHandshaker.handshakeAlert(ClientHandshaker.java:1410)
au coucher du soleil.de sécurité.le protocole ssl.SSLSocketImpl.recvAlert(SSLSocketImpl.java:2004)
au coucher du soleil.de sécurité.le protocole ssl.SSLSocketImpl.readRecord(SSLSocketImpl.java:1113)
au
soleil.de sécurité.le protocole ssl.SSLSocketImpl.performInitialHandshake(SSLSocketImpl.java:1363)
au
soleil.de sécurité.le protocole ssl.SSLSocketImpl.startHandshake(SSLSocketImpl.java:1391)
au
soleil.de sécurité.le protocole ssl.SSLSocketImpl.startHandshake(SSLSocketImpl.java:1375)
au
soleil.net.www.le protocole.https.HttpsClient.afterConnect(HttpsClient.java:563)
au
sun.net.www.protocol.https.AbstractDelegateHttpsURLConnection.connect(AbstractDelegateHttpsURLConnection.java:185)
au
soleil.net.www.le protocole.https.HttpsURLConnectionImpl.connect(HttpsURLConnectionImpl.java:153)
au
com.amazon.l'abc.iopn.test.MainTest.connectWithFallbackIfRequired(MainTest.java:246)
au
com.amazon.l'abc.iopn.test.MainTest.createHttpConnection(MainTest.java:201)
au com.amazon.l'abc.iopn.test.MainTest.processLine(MainTest.java:105)
au com.amazon.l'abc.iopn.test.MainTest.principale(MainTest.java:99)

Je comprendre après avoir lu d'autres articles du net que c'est un problème avec la configuration du serveur. Le serveur en réponse jette un avertissement qui Java traite comme une Exception. La solution de contournement consiste à définir jsse.enableSNIExtension "faux".

  • Quels sont les risques de sécurité, le client s'expose, s'il définit le jsse.enableSNIExtension à la propriété système faux?

PS: Toutes les Url que l'on cherche à se connecter via HTTPS. Donc, il y aura de la vérification du certificat.

Réglage de la " jsse.enableSNIExtension' false désactive SNI de soutien pour l'ensemble de votre application. Si vous vous connectez à un seul domaine ou un ensemble fixe de domaines, sans aucun soutien de la SNI, cela ne devrait pas être un problème. Cependant, si certains de vos domaines d'utilisation SNI, votre application ne sera pas en mesure de se connecter. Une solution de contournement qui tente de déjouer le mal configuré SNI case est détaillée dans le stackoverflow.com/a/14884941/4483015

OriginalL'auteur Sashwat | 2015-08-18

  1. 5

    à partir d'oracle (http://docs.oracle.com/javase/7/docs/technotes/guides/security/jsse/JSSERefGuide.html):

    Il permet les connexions TLS pour les serveurs virtuels, dans lesquels plusieurs serveurs pour de différents noms de réseau sont hébergées sur un seul sous-jacent de l'adresse réseau

    Si vous désactivez jsse.enableSNIExtension vous ne serez pas en mesure de se connecter à des pages en vertu d'un serveur virtuel

    OriginalL'auteur jpereira