与自定义 CipherSuites 的 Java HTTPS 连接

Question

假设我尝试使用 HttpsURLConnection 通过 HTTPS 连接到 Web 服务器。现在，如果我使用以下方法在客户端上设置/限制密码：

System.setProperty("https.cipherSuites", myCustomCipherSuites);

我想知道我的 Java 客户端和 Web 服务器之间如何就密码达成一致。例如，如果我的密码套件包括 [中、强] 并且 Web 服务器支持 [弱、中、强、强] ...

1- 是否会选择“强”，即客户端和服务器上可用的最强密码？ 2- 是否存在由 Web 服务器定义的优先级，然后对客户端进行可用性检查，以查找具有最高优先级（在 Web 服务器上）且相互可用（在客户端和服务器上）的密码？

另外，如果我有一个密码“a”、“b”、“c”和“d”列表，并且网络服务器仅支持“e”、“f”和“g”......我可以确定客户端和服务器都会在放弃之前尝试找到通用密码来协商连接的所有可能性（因为没有可用的通用密码）。我很确定这个问题的答案是肯定的......但我只是想确认一下。

Answer 1

关于你的第一个问题：

客户提供了一个密码套件列表，其首选顺序是（最想要的第一个，最不想要的最后）。

服务器应该选择列表中它愿意同意的第一项，忽略服务器可能有的任何偏好。但是，没有（简单）方法可以阻止服务器使用自己的首选项（如果它们与客户端的首选项不匹配）。

对于第二个，如果没有匹配的密码套件，则连接失败。这并不是真正的“排气”，而是“我支持A、B、C、D”| “我不支持其中任何一个。我猜我们无法联系。”