Na solução de um problema com meu servlet Tomcat, decidi habilitar a depuração de rede editando /var/apache-tomcat-8.5.5/bin/setenv.sh e alterando a linha export JAVA_OPTS="-Xms512m -Xmx1536m -XX:MaxPermSize=256m" para export JAVA_OPTS="-Xms512m -Xmx1536m -XX:MaxPermSize=256m -Djavax.net.debug=all" . Assim que salvei o arquivo e reiniciei o Tomcat (via catalina.sh start / stop), descobri que não conseguia mais me conectar ao aplicativo do gerenciador Tomcat ( link ) via HTTPS. Chrome diz:
"This site can't be reached" (ERR_CONNECTION_CLOSED)
Eu reproduzi esse comportamento depois de interromper e desimpedir completamente o meu aplicativo da Web. (Apenas os aplicativos padrão do gerenciador do Tomcat estão instalados agora.) Então, sei que é apenas uma opção Java que está causando a falha do HTTPS.
Por que a ativação da depuração quebra HTTPS?
Aqui está uma pista possível do arquivo de log catalina.out:
https-jsse-nio-8443-exec-4, fatal error: 80: problem unwrapping net record
java.lang.RuntimeException: java.security.NoSuchAlgorithmException: EC AlgorithmParameters not available
https-jsse-nio-8443-exec-4, SEND TLSv1.2 ALERT: fatal, description = internal_error
https-jsse-nio-8443-exec-4, WRITE: TLSv1.2 Alert, length = 2
28-Sep-2016 14:01:00.576 SEVERE [https-jsse-nio-8443-exec-4] org.apache.tomcat.util.net.NioEndpoint$SocketProcessor.doRun
java.lang.RuntimeException: java.security.NoSuchAlgorithmException: EC AlgorithmParameters not available
at sun.security.ssl.Handshaker.checkThrown(Handshaker.java:1429)
at sun.security.ssl.SSLEngineImpl.checkTaskThrown(SSLEngineImpl.java:535)
at sun.security.ssl.SSLEngineImpl.readNetRecord(SSLEngineImpl.java:813)
at sun.security.ssl.SSLEngineImpl.unwrap(SSLEngineImpl.java:781)
at javax.net.ssl.SSLEngine.unwrap(SSLEngine.java:624)
at org.apache.tomcat.util.net.SecureNioChannel.handshakeUnwrap(SecureNioChannel.java:449)
at org.apache.tomcat.util.net.SecureNioChannel.handshake(SecureNioChannel.java:227)
at org.apache.tomcat.util.net.NioEndpoint$SocketProcessor.doRun(NioEndpoint.java:1387)
at org.apache.tomcat.util.net.SocketProcessorBase.run(SocketProcessorBase.java:49)
at java.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1142)
at java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:617)
at org.apache.tomcat.util.threads.TaskThread$WrappingRunnable.run(TaskThread.java:61)
at java.lang.Thread.run(Thread.java:745)
Caused by: java.lang.RuntimeException: java.security.NoSuchAlgorithmException: EC AlgorithmParameters not available
at sun.security.util.ECUtil.getECParameters(ECUtil.java:100)
at sun.security.util.ECUtil.getECParameterSpec(ECUtil.java:149)
at sun.security.ssl.JsseJce.getECParameterSpec(JsseJce.java:385)
at sun.security.ssl.SupportedEllipticCurvesExtension.toString(SupportedEllipticCurvesExtension.java:127)
at sun.security.ssl.HelloExtensions.print(HelloExtensions.java:150)
at sun.security.ssl.HandshakeMessage$ClientHello.print(HandshakeMessage.java:323)
at sun.security.ssl.ServerHandshaker.clientHello(ServerHandshaker.java:340)
at sun.security.ssl.ServerHandshaker.processMessage(ServerHandshaker.java:221)
at sun.security.ssl.Handshaker.processLoop(Handshaker.java:979)
at sun.security.ssl.Handshaker$1.run(Handshaker.java:919)
at sun.security.ssl.Handshaker$1.run(Handshaker.java:916)
at java.security.AccessController.doPrivileged(Native Method)
at sun.security.ssl.Handshaker$DelegatedTask.run(Handshaker.java:1369)
at org.apache.tomcat.util.net.SecureNioChannel.tasks(SecureNioChannel.java:397)
at org.apache.tomcat.util.net.SecureNioChannel.handshakeUnwrap(SecureNioChannel.java:457)
... 7 more
Caused by: java.security.NoSuchAlgorithmException: EC AlgorithmParameters not available
at sun.security.jca.GetInstance.getInstance(GetInstance.java:159)
at java.security.Security.getImpl(Security.java:695)
at java.security.AlgorithmParameters.getInstance(AlgorithmParameters.java:146)
at sun.security.util.ECUtil.getECParameters(ECUtil.java:98)
... 21 more
Quando eu limpo os logs e reverti para o padrão JAVA_OPTS, a exceção não ocorre.
Ambiente:
CentOS Linux release 7.2.1511 (Core)
uname -r: 3.10.0-327.10.1.el7.x86_64
Using CATALINA_BASE: /var/apache-tomcat-8.5.5
Using CATALINA_HOME: /var/apache-tomcat-8.5.5
Using CATALINA_TMPDIR: /var/apache-tomcat-8.5.5/temp
Using JRE_HOME: /usr/lib/jvm/java-1.8.0-openjdk-1.8.0.101-3.b13.el7_2.x86_64/jre
Using CLASSPATH: /var/apache-tomcat-8.5.5/bin/bootstrap.jar:/var/apache-tomcat-8.5.5/bin/tomcat-juli.jar
Using CATALINA_PID: /var/apache-tomcat-8.5.5/tomcat.pid
Devo acrescentar que, mesmo quando o acesso HTTPS ao servlet é quebrado, ainda posso acessá-lo via HTTP, por exemplo, link .
O problema é que o OpenJDK 8 não suporta cifras de curvas elípticas ao tentar depurar a conexão SSL (por exemplo, javax.net.debug=all ).
Tente atualizar os pacotes java-1.8.0-openjdk para corrigir esse erro.
Veja mais: atualização de correção de bug java-1.8.0-openjdk