SSLハンドシェイクに失敗しました-Java 1.8

JDK 1.8.0_51リリース RC4はJavaクライアント（サーバーとしても）からSSLハンドシェイクをネゴシエートするためにサポートされなくなりました。RC4は弱い（そして侵害された）暗号と見なされます）それが削除の理由です

http://bugs.Java.com/view_bug.do?bug_id=8076221

ただし、RC4を_jdk.tls.disabledAlgorithms_からJavaセキュリティ構成から削除するか、setEnabledCipherSuites()メソッドを使用してプログラム的に有効にすることで有効にできます。

ただし、より適切な解決策は、サーバー構成を更新して（管理下にある場合）、より強力な暗号にアップグレードすることです。

RC4は、侵害された暗号と見なされるようになりました。 RC4暗号スイートは、OracleJSSE実装のクライアントとサーバーのデフォルトで有効な暗号スイートリストの両方から削除されました。これらの暗号スイートは、SSLEngine.setEnabledCipherSuites()およびSSLSocket.setEnabledCipherSuites()メソッドによって引き続き有効にできます。

Security.setProperty()を使用して設定するアプローチに関しては、 無効なアルゴリズムを保持するフィールドは静的で最終的 であるため、信頼できる方法ではありません。したがって、そのクラスが最初にロードされる場合は、それを制御することはできません。代わりに、プロパティファイルを作成して試すこともできます。

このような

_## override it to remove RC4, in disabledcipher.properties
jdk.tls.disabledAlgorithms=DHE
_

そして、JVMでは、このようなシステムプロパティとして参照できます。

_Java -Djava.security.properties=disabledcipher.properties blah...
_

RC4は効果的にクラックされました- 14年前 。

2001年の論文「RC4の鍵スケジュールアルゴリズムの弱点」に掲載されたFluhrer、Mantin、Shamir（FMS）の攻撃は、弱点を利用しています。暗号化されたメッセージからキーを再構築するためのRC4キースケジューリングアルゴリズム。

問題はJava 8ではありません。

問題は、サーバーがRC4を使用していることです。

ここでの根本的な原因はサーバーであることに注意してください。サーバー（開発者の制御が及ばない可能性が非常に高い）が修正されるまでの回避策を提供するために、これを投稿しただけです。