最近接钉钉 OA 发现不支持 SSL 3.0
能支持一波吗。。。。。
钉钉工单回复:
1
masker 2018-12-20 12:36:16 +08:00 via Android
钉钉工单都回复了。。。还在这里找钉钉工单???
|
2
iwtbauh 2018-12-20 12:38:12 +08:00 via Android
马上都 9102 年了才支持到 SSL 2.0 ???
我建议啊你们别用 SSL 了,直接明文算了。 |
3
nekoyaki 2018-12-20 12:40:42 +08:00
……看之前觉得 9102 年了怎么还有人用 SSL 3.0。
点进来看了,怎么 9102 年了还有厂商只支持 SSL 2.0. |
4
rrfeng 2018-12-20 12:41:47 +08:00 via Android
我觉得回复的人可能想说的是 tls1.2
如果真的是 ssl2.0,那么钉钉去死吧 |
5
quxiangxuanqxx OP @masker #1 这回复显然不是我希望的
|
6
quxiangxuanqxx OP @rrfeng #4
url 地址访问异常,错误原因为:javax.net.ssl.SSLException: Received fatal alert: protocol_version 钉钉接口的返回值。。。。 应该是支持 2.0 吧。。。 |
7
SingeeKing 2018-12-20 13:24:17 +08:00
你确定不是 TLS1.2、1.3 …… 现在还有 SSL 啊。。
|
8
ysc3839 2018-12-20 13:24:44 +08:00
SSL 早就淘汰了,现在应该使用 TLS。客服的意思可能是 SSL 只支持到 2.0,不代表不支持 TLS。
|
9
Livid MOD 这个 API 的域名是多少?放出来大家测一波就知道到底支持哪些了。
|
10
sobigfish 2018-12-20 13:40:04 +08:00 1
应该是这个吧 https://oapi.dingtalk.com
https://www.ssllabs.com/ssltest/analyze.html?d=oapi.dingtalk.com Protocols TLS 1.3 No TLS 1.2 Yes TLS 1.1 Yes TLS 1.0 Yes SSL 3 No SSL 2 No |
11
quxiangxuanqxx OP @Livid #9
@SingeeKing #7 @ysc3839 #8 @sobigfish #10 不是我请求钉钉的服务,是钉钉的服务向我的服务发请求,钉钉开发文档在这里 https://open-doc.dingtalk.com/microapp/serverapi2/pwz3r5 我这边服务上了 SSL 3.0 TLS 是 1.2 钉钉给我返回的报错是**钉钉的服务端请求我的接口时报的错** 所以就算钉钉支持到 TLS 我这边也是 OKAY 的 |
12
Livid MOD @quxiangxuanqxx 钉钉的 callback 可以支持 SNI 吗?
|
13
sobigfish 2018-12-20 13:58:47 +08:00
@quxiangxuanqxx #11 哈哈 那就坑了,他们的回调用的什么烂 client lib
|
14
quxiangxuanqxx OP @Livid #12 接口文档只提供了这一个指定回调的方式,告诉我的参数里没有 SNI 相关的
|
15
quxiangxuanqxx OP @sobigfish #13 可能是个 bug 按理说这种还能看到具体语言的报错不应该 throw 出来吧
|
16
sobigfish 2018-12-20 14:09:15 +08:00
我觉得可以先把你们的服务器接口用 ssllabs 测试一遍,顺便检查下他们发请求的 client UA 来判断对方的 java 版本什么的,说不定支持 tls 也是上古的 tls 1.0 什么的
|
17
Livid MOD 1. 确保你自己这边的证书合法
2. 用 ssllabs 测一下自己的域名 3. 确认一下对方的 client library 对 TLS / SNI 的支持程度 |
18
quxiangxuanqxx OP |
19
quxiangxuanqxx OP @Livid #17 都是合法的,但是证书不能换了,只能先用 HTTP 了
|
20
realpg 2018-12-20 17:11:54 +08:00
曾经遇到过 java1.4 调我的 https 服务
PS: 1.4 的年代就要求 https 很先进的样子 我已经一再降级支持的 SSL 版本了 包括不使用 SNI 的 WEBSERVER 还是不行 根本原因是 java1.4 的年代我用的根证书还没诞生呢 |
21
quxiangxuanqxx OP @realpg #20 所以我这边能做的都做了,钉钉工单的回复看起来近期不会改。
|
22
gfh110 2018-12-20 17:24:08 +08:00
顺便问下,机器人啥时候支持回复功能
|
23
scriptB0y 2018-12-20 23:19:47 +08:00
|
24
reus 2018-12-21 09:31:08 +08:00
SSL 2.0 和 3.0 都是已经淘汰的东西,不要用,客户端不支持也正常
应该用 TLS 1.2 或者 TLS 1.3,不要看到 3.0 比 1.x 大,就以为更新 客服估计也是不懂吧,可能是只支持 TLS 1.2,还没支持 TLS 1.3,毕竟 TLS 1.3 也才刚刚正式出来 |
25
quxiangxuanqxx OP |
26
reus 2018-12-21 10:49:30 +08:00
@quxiangxuanqxx 不是钉钉向你们发请求吗?那你们就是服务器端,钉钉就是客户端。你这边不要开 SSL 支持,只用 TLS 支持,那钉钉在协商时就会使用 TLS,而不是 SSL。总之现在没有任何理由使用 SSL 3.0。你先在你们服务器这边,把 SSL 关闭试试。
|
27
mydns 2018-12-21 12:34:27 +08:00
很多 windows xp 的客户就需要 ssl3 才能访问 比如他们就访问不了支付宝网站
|