V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
工单节点使用指南
• 请用平和的语言准确描述你所遇到的问题
• 厂商的技术支持和你一样也是有喜怒哀乐的普通人类,尊重是相互的
• 如果是关于 V2EX 本身的问题反馈,请使用 反馈 节点
quxiangxuanqxx
V2EX  ›  全球工单系统

有钉钉的小伙伴吗,能支持一下 SSL 3.0 吗?

  •  
  •   quxiangxuanqxx · 2018-12-20 12:23:46 +08:00 · 3440 次点击
    这是一个创建于 2174 天前的主题,其中的信息可能已经有所发展或是发生改变。

    最近接钉钉 OA 发现不支持 SSL 3.0

    能支持一波吗。。。。。

    钉钉工单回复:

    工单回复

    27 条回复    2018-12-21 12:34:27 +08:00
    masker
        1
    masker  
       2018-12-20 12:36:16 +08:00 via Android
    钉钉工单都回复了。。。还在这里找钉钉工单???
    iwtbauh
        2
    iwtbauh  
       2018-12-20 12:38:12 +08:00 via Android
    马上都 9102 年了才支持到 SSL 2.0 ???
    我建议啊你们别用 SSL 了,直接明文算了。
    nekoyaki
        3
    nekoyaki  
       2018-12-20 12:40:42 +08:00
    ……看之前觉得 9102 年了怎么还有人用 SSL 3.0。
    点进来看了,怎么 9102 年了还有厂商只支持 SSL 2.0.
    rrfeng
        4
    rrfeng  
       2018-12-20 12:41:47 +08:00 via Android
    我觉得回复的人可能想说的是 tls1.2
    如果真的是 ssl2.0,那么钉钉去死吧
    quxiangxuanqxx
        5
    quxiangxuanqxx  
    OP
       2018-12-20 13:03:17 +08:00
    @masker #1 这回复显然不是我希望的
    quxiangxuanqxx
        6
    quxiangxuanqxx  
    OP
       2018-12-20 13:04:25 +08:00
    @rrfeng #4
    url 地址访问异常,错误原因为:javax.net.ssl.SSLException: Received fatal alert: protocol_version

    钉钉接口的返回值。。。。

    应该是支持 2.0 吧。。。
    SingeeKing
        7
    SingeeKing  
       2018-12-20 13:24:17 +08:00
    你确定不是 TLS1.2、1.3 …… 现在还有 SSL 啊。。
    ysc3839
        8
    ysc3839  
       2018-12-20 13:24:44 +08:00
    SSL 早就淘汰了,现在应该使用 TLS。客服的意思可能是 SSL 只支持到 2.0,不代表不支持 TLS。
    Livid
        9
    Livid  
    MOD
       2018-12-20 13:33:14 +08:00 via iPhone
    这个 API 的域名是多少?放出来大家测一波就知道到底支持哪些了。
    sobigfish
        10
    sobigfish  
       2018-12-20 13:40:04 +08:00   ❤️ 1
    应该是这个吧 https://oapi.dingtalk.com

    https://www.ssllabs.com/ssltest/analyze.html?d=oapi.dingtalk.com
    Protocols
    TLS 1.3 No
    TLS 1.2 Yes
    TLS 1.1 Yes
    TLS 1.0 Yes
    SSL 3 No
    SSL 2 No
    quxiangxuanqxx
        11
    quxiangxuanqxx  
    OP
       2018-12-20 13:54:13 +08:00
    @Livid #9
    @SingeeKing #7
    @ysc3839 #8
    @sobigfish #10

    不是我请求钉钉的服务,是钉钉的服务向我的服务发请求,钉钉开发文档在这里
    https://open-doc.dingtalk.com/microapp/serverapi2/pwz3r5

    我这边服务上了 SSL 3.0 TLS 是 1.2

    钉钉给我返回的报错是**钉钉的服务端请求我的接口时报的错**

    所以就算钉钉支持到 TLS 我这边也是 OKAY 的
    Livid
        12
    Livid  
    MOD
       2018-12-20 13:57:15 +08:00
    @quxiangxuanqxx 钉钉的 callback 可以支持 SNI 吗?
    sobigfish
        13
    sobigfish  
       2018-12-20 13:58:47 +08:00
    @quxiangxuanqxx #11 哈哈 那就坑了,他们的回调用的什么烂 client lib
    quxiangxuanqxx
        14
    quxiangxuanqxx  
    OP
       2018-12-20 14:00:22 +08:00
    @Livid #12 接口文档只提供了这一个指定回调的方式,告诉我的参数里没有 SNI 相关的
    quxiangxuanqxx
        15
    quxiangxuanqxx  
    OP
       2018-12-20 14:01:04 +08:00
    @sobigfish #13 可能是个 bug 按理说这种还能看到具体语言的报错不应该 throw 出来吧
    sobigfish
        16
    sobigfish  
       2018-12-20 14:09:15 +08:00
    我觉得可以先把你们的服务器接口用 ssllabs 测试一遍,顺便检查下他们发请求的 client UA 来判断对方的 java 版本什么的,说不定支持 tls 也是上古的 tls 1.0 什么的
    Livid
        17
    Livid  
    MOD
       2018-12-20 14:21:26 +08:00
    1. 确保你自己这边的证书合法
    2. 用 ssllabs 测一下自己的域名
    3. 确认一下对方的 client library 对 TLS / SNI 的支持程度
    quxiangxuanqxx
        18
    quxiangxuanqxx  
    OP
       2018-12-20 14:23:35 +08:00
    @sobigfish #16 不折腾了,我们这边不可能跑去降级 SSL 和 TLS

    暂时开个 http 接口先用着了,反正内部用
    quxiangxuanqxx
        19
    quxiangxuanqxx  
    OP
       2018-12-20 14:25:05 +08:00
    @Livid #17 都是合法的,但是证书不能换了,只能先用 HTTP 了
    realpg
        20
    realpg  
       2018-12-20 17:11:54 +08:00
    曾经遇到过 java1.4 调我的 https 服务
    PS: 1.4 的年代就要求 https 很先进的样子
    我已经一再降级支持的 SSL 版本了 包括不使用 SNI 的 WEBSERVER 还是不行
    根本原因是 java1.4 的年代我用的根证书还没诞生呢
    quxiangxuanqxx
        21
    quxiangxuanqxx  
    OP
       2018-12-20 17:16:07 +08:00
    @realpg #20 所以我这边能做的都做了,钉钉工单的回复看起来近期不会改。
    gfh110
        22
    gfh110  
       2018-12-20 17:24:08 +08:00
    顺便问下,机器人啥时候支持回复功能
    reus
        24
    reus  
       2018-12-21 09:31:08 +08:00
    SSL 2.0 和 3.0 都是已经淘汰的东西,不要用,客户端不支持也正常
    应该用 TLS 1.2 或者 TLS 1.3,不要看到 3.0 比 1.x 大,就以为更新
    客服估计也是不懂吧,可能是只支持 TLS 1.2,还没支持 TLS 1.3,毕竟 TLS 1.3 也才刚刚正式出来
    quxiangxuanqxx
        25
    quxiangxuanqxx  
    OP
       2018-12-21 10:36:15 +08:00
    @reus #24 我这边是 TLS 1.2,还没支持到 TLS 1.3

    这个 java 的报错显示的 SSL 版本问题,而报错信息是钉钉的服务端的报错

    而且,客户端是我这边,别人那边是服务端。。。
    reus
        26
    reus  
       2018-12-21 10:49:30 +08:00
    @quxiangxuanqxx 不是钉钉向你们发请求吗?那你们就是服务器端,钉钉就是客户端。你这边不要开 SSL 支持,只用 TLS 支持,那钉钉在协商时就会使用 TLS,而不是 SSL。总之现在没有任何理由使用 SSL 3.0。你先在你们服务器这边,把 SSL 关闭试试。
    mydns
        27
    mydns  
       2018-12-21 12:34:27 +08:00
    很多 windows xp 的客户就需要 ssl3 才能访问 比如他们就访问不了支付宝网站
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   4901 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 28ms · UTC 09:55 · PVG 17:55 · LAX 01:55 · JFK 04:55
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.