Czy Java obsługuje certyfikaty Let's Encrypt?

Tworzę aplikację Java, która wysyła zapytania do interfejsu API REST na zdalnym serwerze za pośrednictwem protokołu HTTP. Ze względów bezpieczeństwa ta komunikacja powinna zostać przełączona na HTTPS.

Teraz, gdy Let's Encrypt rozpoczęło swoją publiczną wersję beta, chciałbym wiedzieć, czy Java obecnie działa (lub jest potwierdzona, że ​​będzie działać w przyszłości) z ich certyfikatami domyślnie.

Let's Encrypt otrzymało pośredni podpis krzyżowy przez IdenTrust , co powinno być dobrą wiadomością. Jednak nie mogę znaleźć żadnego z tych dwóch w danych wyjściowych tego polecenia:

keytool -keystore "..\lib\security\cacerts" -storepass changeit -list

Wiem, że zaufane urzędy certyfikacji można dodać ręcznie na każdym komputerze, ale ponieważ moja aplikacja powinna być bezpłatna do pobrania i wykonywalna bez dalszej konfiguracji, szukam rozwiązań, które działają „po wyjęciu z pudełka”. Czy masz dla mnie dobrą wiadomość?

[ Aktualizacja 2016-06-08 : Według https://bugs.openjdk.java.net/browse/JDK-8154757, IdenTrust CA zostanie uwzględniony w Oracle Java 8u101.]

[ Aktualizacja 2016-08-05 : wydano Java 8u101 i rzeczywiście zawiera ona IdenTrust CA: informacje o wersji ]

Czy Java obsługuje certyfikaty Let's Encrypt?

Tak. Certyfikat Let's Encrypt to zwykły certyfikat klucza publicznego. Java to obsługuje (zgodnie z Let's Encrypt Certificate Compatibility , dla Java 7> = 7u111 i Java 8> = 8u101).

Czy Java ufa certyfikatom Let's Encrypt po wyjęciu z pudełka?

Nie / to zależy od JVM. Truststore Oracle JDK / JRE do 8u66 nie zawiera ani konkretnego urzędu certyfikacji Let's Encrypt, ani urzędu certyfikacji IdenTrust, który go podpisał. new URL("https://letsencrypt.org/").openConnection().connect();na przykład powoduje javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException.

Można jednak udostępnić własny walidator / zdefiniować niestandardowy magazyn kluczy zawierający wymagany główny ośrodek certyfikacji lub zaimportować certyfikat do magazynu zaufanych certyfikatów maszyny JVM.

https://community.letsencrypt.org/t/will-the-cross-root-cover-trust-by-the-default-list-in-the-jdk-jre/134/10 również omawia ten temat.

Oto przykładowy kod, który pokazuje, jak dodać certyfikat do domyślnego magazynu zaufanych certyfikatów w czasie wykonywania. Musisz tylko dodać certyfikat (wyeksportowany z przeglądarki Firefox jako .der i wstawić ścieżkę klas)

Na podstawie Jak mogę uzyskać listę zaufanych certyfikatów głównych w Javie? i http://developer.android.com/training/articles/security-ssl.html#UnknownCa

import java.io.BufferedInputStream;
import java.io.IOException;
import java.io.InputStream;
import java.net.URL;
import java.net.URLConnection;
import java.nio.file.Files;
import java.nio.file.Path;
import java.nio.file.Paths;
import java.security.KeyStore;
import java.security.cert.Certificate;
import java.security.cert.CertificateFactory;
import java.security.cert.PKIXParameters;
import java.security.cert.TrustAnchor;
import java.security.cert.X509Certificate;

import javax.net.ssl.SSLContext;
import javax.net.ssl.SSLHandshakeException;
import javax.net.ssl.TrustManagerFactory;

public class SSLExample {
    // BEGIN ------- ADDME
    static {
        try {
            KeyStore keyStore = KeyStore.getInstance(KeyStore.getDefaultType());
            Path ksPath = Paths.get(System.getProperty("java.home"),
                    "lib", "security", "cacerts");
            keyStore.load(Files.newInputStream(ksPath),
                    "changeit".toCharArray());

            CertificateFactory cf = CertificateFactory.getInstance("X.509");
            try (InputStream caInput = new BufferedInputStream(
                    // this files is shipped with the application
                    SSLExample.class.getResourceAsStream("DSTRootCAX3.der"))) {
                Certificate crt = cf.generateCertificate(caInput);
                System.out.println("Added Cert for " + ((X509Certificate) crt)
                        .getSubjectDN());

                keyStore.setCertificateEntry("DSTRootCAX3", crt);
            }

            if (false) { // enable to see
                System.out.println("Truststore now trusting: ");
                PKIXParameters params = new PKIXParameters(keyStore);
                params.getTrustAnchors().stream()
                        .map(TrustAnchor::getTrustedCert)
                        .map(X509Certificate::getSubjectDN)
                        .forEach(System.out::println);
                System.out.println();
            }

            TrustManagerFactory tmf = TrustManagerFactory
                    .getInstance(TrustManagerFactory.getDefaultAlgorithm());
            tmf.init(keyStore);
            SSLContext sslContext = SSLContext.getInstance("TLS");
            sslContext.init(null, tmf.getTrustManagers(), null);
            SSLContext.setDefault(sslContext);
        } catch (Exception e) {
            throw new RuntimeException(e);
        }
    }
    // END ---------- ADDME

    public static void main(String[] args) throws IOException {
        // signed by default trusted CAs.
        testUrl(new URL("https://google.com"));
        testUrl(new URL("https://www.thawte.com"));

        // signed by letsencrypt
        testUrl(new URL("https://helloworld.letsencrypt.org"));
        // signed by LE's cross-sign CA
        testUrl(new URL("https://letsencrypt.org"));
        // expired
        testUrl(new URL("https://tv.eurosport.com/"));
        // self-signed
        testUrl(new URL("https://www.pcwebshop.co.uk/"));

    }

    static void testUrl(URL url) throws IOException {
        URLConnection connection = url.openConnection();
        try {
            connection.connect();
            System.out.println("Headers of " + url + " => "
                    + connection.getHeaderFields());
        } catch (SSLHandshakeException e) {
            System.out.println("Untrusted: " + url);
        }
    }

}

Wiem, że OP poprosił o rozwiązanie bez lokalnych zmian konfiguracji, ale na wypadek, gdybyś chciał trwale dodać łańcuch zaufania do magazynu kluczy:

$ keytool -trustcacerts \
    -keystore $JAVA_HOME/jre/lib/security/cacerts \
    -storepass changeit \
    -noprompt \
    -importcert \
    -file /etc/letsencrypt/live/hostname.com/chain.pem

źródło: https://community.letsencrypt.org/t/will-the-cross-root-cover-trust-by-the-default-list-in-the-jdk-jre/134/13

Szczegółowa odpowiedź dla tych z nas, którzy chcą dokonać lokalnych zmian konfiguracyjnych, które obejmują utworzenie kopii zapasowej pliku konfiguracyjnego:

1. Sprawdź, czy działa przed zmianami

Jeśli nie masz jeszcze programu testowego, możesz użyć mojego programu ping SSLPing java, który testuje uzgadnianie TLS (będzie działać z dowolnym portem SSL / TLS, nie tylko HTTPS). Użyję gotowego pliku SSLPing.jar, ale czytanie kodu i samodzielne tworzenie go to szybkie i łatwe zadanie:

$ git clone https://github.com/dimalinux/SSLPing.git
Cloning into 'SSLPing'...
[... output snipped ...]

Ponieważ moja wersja Java jest starsza niż 1.8.0_101 (nie została wydana w momencie pisania tego tekstu), certyfikat Let's Encrypt nie będzie domyślnie weryfikowany. Zobaczmy, jak wygląda awaria przed zastosowaniem poprawki:

$ java -jar SSLPing/dist/SSLPing.jar helloworld.letsencrypt.org 443
About to connect to 'helloworld.letsencrypt.org' on port 443
javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
[... output snipped ...]

2. Zaimportuj certyfikat

Pracuję na Mac OS X z ustawioną zmienną środowiskową JAVA_HOME. Późniejsze polecenia przyjmą, że ta zmienna jest ustawiona dla modyfikowanej instalacji Java:

$ echo $JAVA_HOME 
/Library/Java/JavaVirtualMachines/jdk1.8.0_92.jdk/Contents/Home/

Utwórz kopię zapasową pliku cacerts, który będziemy modyfikować, aby móc cofnąć wszelkie zmiany bez ponownej instalacji JDK:

$ sudo cp -a $JAVA_HOME/jre/lib/security/cacerts $JAVA_HOME/jre/lib/security/cacerts.orig

Pobierz certyfikat podpisujący, który musimy zaimportować:

$ wget https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.der

Wykonaj import:

$ sudo keytool -trustcacerts -keystore $JAVA_HOME/jre/lib/security/cacerts -storepass changeit -noprompt -importcert -alias lets-encrypt-x3-cross-signed -file lets-encrypt-x3-cross-signed.der 
Certificate was added to keystore

3. Sprawdź, czy działa po zmianach

Sprawdź, czy Java jest teraz zadowolona z połączenia z portem SSL:

$ java -jar SSLPing/dist/SSLPing.jar helloworld.letsencrypt.org 443
About to connect to 'helloworld.letsencrypt.org' on port 443
Successfully connected

W przypadku JDK, które jeszcze nie obsługują certyfikatów Let's Encrypt, możesz je dodać do JDK cacertspo tym procesie (dzięki temu ).

Pobierz wszystkie certyfikaty z https://letsencrypt.org/certificates/ (wybierz format der ) i dodawaj je jeden po drugim za pomocą tego rodzaju polecenia (przykład dla letsencryptauthorityx1.der):

keytool -import -keystore PATH_TO_JDK\jre\lib\security\cacerts -storepass changeit -noprompt -trustcacerts -alias letsencryptauthorityx1 -file PATH_TO_DOWNLOADS\letsencryptauthorityx1.der