Бесплатный вебинар
«как найти любимую работу»
Подарки на 150 000 ₽ за участие
Живой эфир
Записи не будет!
00:00:00:00
дн.ч.мин.сек.

Справляемся с ошибкой CertificateException в Java: решение

Быстрый ответ

Чтобы устранить CertificateException, обновите сертификат, добавив в него необходимые Альтернативные Имена Субъекта (Subject Alternative Names, SANs). В качестве временного решения вы можете отключить проверку SAN следующим образом:

Java
Скопировать код
System.setProperty("jdk.internal.httpclient.disableHostnameVerification", "true");

Однако, для обеспечения безопасности рекомендуется корректно исправить сертификат.

Кинга Идем в IT: пошаговый план для смены профессии

Устранение основной причины

Основная причина проблемы кроется в несоответствии имени домена сервера сертификату. Вы можете решить ее следующим образом:

  • Обновите сертификат, указав корректные SANs.
  • Проверьте DNS-записи на соответствие SAN.
  • Воспользуйтесь файлом hosts для тестирования, добавив в него полное доменное имя сервера.

Помните о безопасности

Игнорирование проверок SSL устранит ошибку, но повысит риск безопасности. Это допустимо только в целях тестирования или разработки:

  • Trust Managers без проверок не рассчитаны на использование в продуктивной среде и могут облегчить выполнение атак типа «человек посередине».
  • Синхронизируйте версии JDK, так как различные релизы могут иметь различные настройки работы с сертификатами из-за обновлений безопасности.
  • Воспользуйтесь OpenSSL для анализа сертификатов и SANs.

Нужна срочная помощь?

Если вы не можете быстро внести изменения в сертификат, используйте следующие подходы для разработки:

  • Создайте собственный SSL контекст.
  • Настройте Trust Manager для управления доверием к сертификатам.
  • Реализуйте верификатор имени хоста при работе с IP-адресами.
  • Измените системные свойства, например, sun.security.ssl.allowUnsafeRenegotiation для быстрого устранения проблемы.

Визуализация

Markdown
Скопировать код
//Попытка подключения... 📡
📻🔍🌐: [Сигнал отсутствует... 🚫]

Для успешного соединения SSL-сертификат должен соответствовать домену сервера и содержать корректный SAN:

Markdown
Скопировать код
//Правильная настройка частоты! 🎵
📻✅🌐: [Сигнал принят! ✨]

Внедрение продвинутых настроек

Пользовательская проверка имени хоста

В случае необходимости примените самописный верификатор имени хоста:

Java
Скопировать код
// С надежным верификатором "общение с незнакомцами" не опасно.
HttpsURLConnection.setDefaultHostnameVerifier((hostname, session) -> return true);

Обратите внимание, это лишь временное решение!

Подробнее об этом расскажет наш спикер на видео
skypro youtube speaker

Управление доверием

Используйте свой TrustManager для контроля доверия к сертификатам:

Java
Скопировать код
// TrustManager, который доверяет всем сертификатам. Не из-за наивности, а из практических соображений!

// Ведь помните: с властью идет и ответственность.
TrustManager[] trustAllCerts = new TrustManager[]{
    new X509TrustManager() {
        public java.security.cert.X509Certificate[] getAcceptedIssuers() { return null; }
        public void checkClientTrusted(java.security.cert.X509Certificate[] certs, String authType) {}
        public void checkServerTrusted(java.security.cert.X509Certificate[] certs, String authType) {}
    }
};

Установка правильного сертификата

Убедитесь, что сертификат вашего сервера корректно установлен в хранилище cacerts:

shell
Скопировать код
// "Сезам, откройся!" позволяет получить доступ к хранилищу, паролем является 'changeit'.
keytool -import -alias <alias> -file <certificate_file> -keystore <path_to_cacerts> -storepass changeit;

Проверьте правильность DNS SAN: Это обеспечит соответствие доменов и услуг, которым пытается подключиться ваш клиент.

Полезные материалы

  1. Руководство по JSSE — детальное описание Java Secure Socket Extension от Oracle.
  2. Приемка серверного SSL-сертификата с собственной подписью в Java-клиенте – Stack Overflow — полезные советы от сообщества Stack Overflow.
  3. Команды Java Keytool Keystore — подробное руководство по использованию команд keytool.
  4. Руководство по GSS-API — информация о SAN и других расширениях.
  5. Примеры Java-кода — образцы кода для работы с SSL-соединениями.
  6. Криптография в Java – Википедия — для лучшего понимания инструментов, которые вы используете.
Проверь как ты усвоил материалы статьи
Пройди тест и узнай насколько ты лучше других читателей
Как можно временно устранить ошибку CertificateException?
1 / 5