为什么最新的 JDK 更新后 Java 无法连接 MySQL 5.7？如何修复？ （ssl.SSLHandshakeException：没有适当的协议）

在 2021 年 4 月 JDK 的最新更新中（11.0.11+9-0ubuntu2~18.04） 支持TLSv1 and TLSv1.1已被删除，大概是因为自 2021 年 3 月以来，这些版本不再受支持。这可以从差异中看出java.security file:

Before:

jdk.tls.disabledAlgorithms=SSLv3, RC4, DES, MD5withRSA, DH keySize < 1024, \
    EC keySize < 224, 3DES_EDE_CBC, anon, NULL, \
    include jdk.disabled.namedCurves

After:

jdk.tls.disabledAlgorithms=SSLv3, TLSv1, TLSv1.1, RC4, DES, MD5withRSA, \
    DH keySize < 1024, EC keySize < 224, 3DES_EDE_CBC, anon, NULL, \
    include jdk.disabled.namedCurves

这篇 SO 帖子中也讨论了这一点：SSLHandShakeException 没有适当的协议 https://stackoverflow.com/questions/38205947/sslhandshakeexception-no-appropriate-protocol。自 JDK 版本更新以来，最近几天该线程中也出现了更多答案。

更新JDK后，我们收到了错误

java.sql.SQLException: An attempt by a client to checkout a Connection has timed out.

with c3p0.

切换到之后hikari我们得到了一个更有意义的错误：

ERROR [2021-04-29 16:21:16,426] com.zaxxer.hikari.pool.HikariPool: HikariPool-1 - Exception during pool initialization.
! javax.net.ssl.SSLHandshakeException: No appropriate protocol (protocol is disabled or cipher suites are inappropriate)

我们在 MySQL 上运行5.7.33-0ubuntu0.18.04.1。现在按照我的理解，如上所述here https://dev.mysql.com/doc/refman/5.7/en/encrypted-connection-protocols-ciphers.html，MySQL 5.7支持TLSv1.2。跑步的时候也有SHOW VARIABLES LIKE 'tls_version'; we get TLSv1,TLSv1.1,TLSv1.2这表明TLSv1.2是支持的。

那么问题来了，为什么 JDK 和 MySQL 不同意使用TLSv1.2我们能做些什么来让他们与TLSv1.2?

注意：我不认为改变java.security其他线程中建议的文件是解决此问题的良好长期解决方案！

正如@skelwa 已经评论的那样，您需要添加enabledTLSProtocols=TLSv1.2连接字符串中的配置属性来解决您的问题。

完整的连接字符串连接器/J https://dev.mysql.com/doc/index-connectors.html可能看起来像这样：

jdbc:mysql://<host>:<port>/<dbname>?enabledTLSProtocols=TLSv1.2

For r2dbc https://r2dbc.io/你需要使用tlsVersion=TLSv1.2反而。

For 连接器/J v8.0.28 enabledTLSProtocols被重命名为tlsVersions (see note https://dev.mysql.com/doc/connector-j/8.0/en/connector-j-reference-using-ssl.html）。但是，原始名称仍保留为别名。

剩下的问题是：

为什么 JDK 和 MySQL 不同意使用TLSv1.2?

尽管双方实际上都支持 TLSv1.2，但您遇到的问题是由 Connector/J 的默认行为引起的。出于兼容性原因，Connector/J 默认情况下不启用 TLSv1.2 及更高版本。因此，必须明确启用它。

请参阅以下内容note https://dev.mysql.com/doc/connector-j/8.0/en/connector-j-reference-using-ssl.html:

对于连接到 MySQL 社区时的 Connector/J 8.0.18 及更早版本 使用 JDBC API 的服务器 5.6 和 5.7：由于兼容性问题 使用 yaSSL 编译的 MySQL Server，Connector/J 不启用 默认情况下使用 TLSv1.2 及更高版本的连接。当连接到 限制连接使用更高 TLS 版本的服务器， 通过设置 Connector/J 连接属性显式启用它们 enabledTLSProtocols（例如，设置 启用TLSProtocols = TLSv1，TLSv1.1，TLSv1.2）。

WARNING:请注意解决方案建议编辑jdk.tls.disabledAlgorithms代替jre/lib/security pose a 安全风险对您的应用程序进行更改并更改任何内容都可能会产生严重的影响！ 这些协议被禁用是有原因的，人们不应该简单地删除该列表中的所有内容，甚至只是部分内容。

Note:如果您想从 JDK 获得更多底层信息来调试您的问题，您可以通过将以下配置传递给 java 命令来启用 ssl 调试日志：

-Djavax.net.debug=ssl,handshake甚至-Djavax.net.debug=all

在你的情况下，你会看到类似的东西：

...(HANDSHAKE_FAILURE): Couldn't kickstart handshaking (
"throwable" : {
  javax.net.ssl.SSLHandshakeException: No appropriate protocol (protocol is disabled or cipher suites are inappropriate)
    at java.base/sun.security.ssl.HandshakeContext.<init>(HandshakeContext.java:170)
    at java.base/sun.security.ssl.ClientHandshakeContext.<init>(ClientHandshakeContext.java:98)
    ...