Java 9和TLS OCSP裝訂

Question

我已經安裝了Java 9，因爲我想使用OCSP（聯機證書狀態協議）功能與TLS握手，也就是OCSP裝訂。正如https://docs.oracle.com/javase/9/security/java-pki-programmers-guide.htm#JSSEC-unique_4307382所述，Java 9是第一個使用OCSP裝訂的版本。

要測試它，您可以設置或讀取某些新屬性，例如「jdk.tls.server.enableStatusRequestExtension」。

不過，我得到 「零」，而不是 「假」（或 「真」）與

System.getProperty("jdk.tls.server.enableStatusRequestExtension") 

查詢此屬性時就嘗試過了新jShell：

[jshell> System.getProperty("jdk.tls.server.enableStatusRequestExtension") 

$2 ==> null

這不應該發生在Java 9.任何想法爲什麼？這是我前兩天下載的一個所謂的Early Access版本。 Java 9的正式版本是2017年9月21日（昨天）。不幸的是，Mac OSX還沒有發佈的版本。 難道這確實是這個特性還沒有在Early Access Build中實現（它應該接近最終版本）？

希望任何人都可以在這裏幫忙。

Answer 1

因爲屬性不存在jshell返回null您的來電System.getProperty（ 「jdk.tls.server.enableStatusRequestExtension」）。我在Java 9下得到了相同的結果。

您似乎期望該屬性在Java 9下自動存在，但事實並非如此;您仍然需要明確地創建它，並將其賦值爲「true」。從JEP 249，在Java中實現9此功能：

的實施，將選擇OCSP具體參數合理的默認值，並提供通過 以下系統屬性這些默認的配置...

這並不意味着所有的OCSP屬性都會在默認設置下自動存在於Java 9中;這意味着如果沒有這些OCSP系統屬性，代碼將「選擇合理的默認值」。例如，如果服務器無法讀取屬性jdk.tls.server.enableStatusRequestExtension ，則執行將（合理）表現爲該屬性已設置值爲「false」。

又見從Oracle presentation on security爲OCSP此代碼示例：

// Enable OCSP Stapling (off by default) 
System.setProperty(「jdk.tls.server.enableStatusRequestExtension」, 「true」); 
// Yes, that’s really it! 

所以我建議你只是明確了OCSP設置您的客戶端和服務器性能必要的，不用擔心它們在Java 9下不存在。

TLDR版本：Java 9支持用於TLS的OCSP定位，但假定在缺少用戶的任何顯式配置的情況下它未啓用。