Https握手失败问题

遇到的问题

昨天遇到一个问题，Https请求握手失败的问题，报SSLHandShakeException。一开始不明白，以为是特定网络的问题，但经同事指点，应该是证书校验的问题。查询证书有效性，验证证书确实有效，那么问题究竟是什么？
后发现是访问的网络采用代理导致，代理服务器的证书无效，虽然原网站的证书 有效，但经过代理控制访问后，客户端验证代理的证书无效，所以导致证书校验失败。

Https请求的过程

梳理了Https的请求过程

Https证书校验流程.png

• 浏览器将自己支持的一套加密规则发送给网站。

• 网站从中选出一组加密算法与HASH算法，并将自己的身份信息以证书的形式发回给浏览器。证书里面包含了网站地址，加密公钥，以及证书的颁发机构等信息。
• 浏览器获得网站证书之后浏览器要做以下工作：
  • 验证证书的合法性（颁发证书的机构是否合法，证书中包含的网站地址是否与正在访问的地址一致等），如果证书受信任，则浏览器栏里面会显示一个小锁头，否则会给出证书不受信的提示。
  • 如果证书受信任，或者是用户接受了不受信的证书，浏览器会生成一串随机数的密码，并用证书中提供的公钥加密。
  • 使用约定好的HASH算法计算握手消息，并使用生成的随机数对消息进行加密，最后将之前生成的所有信息发送给网站。
• 网站接收浏览器发来的数据之后要做以下的操作：
  • 使用自己的私钥将信息解密取出密码，使用密码解密浏览器发来的握手消息，并验证HASH是否与浏览器发来的一致。
  • 使用密码加密一段握手消息，发送给浏览器。
• 浏览器解密并计算握手消息的HASH，如果与服务端发来的HASH一致，此时握手过程结束，之后所有的通信数据将由之前浏览器生成的随机密码并利用对称加密算法进行加密。

答案

回过来看我们的问题，有两种可能：

• 代理服务器在证书校验的过程中被校验为无效的证书，所以没有办法完成后续的流程，抛出了SSLHandShankException。
• 代理服务器的公钥和私钥与原服务器公钥和私钥不同，在客户端用key加密的握手信息传给服务器端校验时因为采用了代理服务器的公钥来进行的加密，所以，服务器用自己的私钥解密失败，导致握手失败。