Firefox 52.4.1上的Java Applet“ClassNotFoundException” - 適用於IE

Question

我們需要在Firefox 52.4.1（與Java Applet兼容的最新版本）和Internet Explorer 11上運行使用Java 8 Applet（生病）的舊Web應用程序。

applet基於Java 8，由Apache Tomcat服務器分發。 它是簽名和混淆的（Proguard）。

用戶使用智能卡通過SSL相互身份驗證連接到網站（客戶端需要PKCS11模塊才能從智能卡獲取證書）。 SSL相互身份驗證也是使用Java Applet完成的。

所有證書都由在每個瀏覽器，Windows和Java證書庫中添加的autority簽名。

這里是HTML代碼：

<object classid='clsid:8AD9C840-044E-11D1-B3E9-00805F499D93' id='AsapiObject'>
    <param name='archive' value='../../../applet/myapplet.jar'/>
    <param name='code' value='main.package.Main'/>
    <param name='name' value='My Applet'/>
    <param name='mayscript' value='true'/>
    <comment>
        <applet id='AsapiApplet'
                name='My Applet'
                archive='../../../applet/myapplet.jar'
                code='main.package.Main'
                MAYSCRIPT="MAYSCRIPT">
        </applet>
    </comment>
</object>

（以下建議來自https://docs.oracle.com/javase/8/docs/technotes/guides/jweb/applet/using_tags.html#applet ）

它在IE 11上工作正常，而不是在Mozilla Firefox 52.4.1上工作。 兩者都是相同的JRE。

在Mozilla Firefox 52.4.1上，我有一個Java異常：

java.lang.ClassNotFoundException: main.package.Main
    at sun.plugin2.applet.Applet2ClassLoader.findClass(Unknown Source)
    at sun.plugin2.applet.Plugin2ClassLoader.loadClass0(Unknown Source)
    at sun.plugin2.applet.Plugin2ClassLoader.loadClass(Unknown Source)
    at sun.plugin2.applet.Plugin2ClassLoader.loadClass(Unknown Source)
    at java.lang.ClassLoader.loadClass(ClassLoader.java:357)
    at sun.plugin2.applet.Plugin2ClassLoader.loadCode(Unknown Source)
    at sun.plugin2.applet.Plugin2Manager.initAppletAdapter(Unknown Source)
    at sun.plugin2.applet.Plugin2Manager$AppletExecutionRunnable.run(Unknown Source)
    at java.lang.Thread.run(Thread.java:748)

在此異常之前，我有一個handshake failure exception ：

javax.net.ssl.SSLHandshakeException: Received fatal alert: handshake_failure
    at sun.security.ssl.Alerts.getSSLException(Alerts.java:192)
    at sun.security.ssl.Alerts.getSSLException(Alerts.java:154)
    at sun.security.ssl.SSLSocketImpl.recvAlert(SSLSocketImpl.java:2023)
    at sun.security.ssl.SSLSocketImpl.readRecord(SSLSocketImpl.java:1125)
    at sun.security.ssl.SSLSocketImpl.performInitialHandshake(SSLSocketImpl.java:1375)
    at sun.security.ssl.SSLSocketImpl.startHandshake(SSLSocketImpl.java:1403)
    at sun.security.ssl.SSLSocketImpl.startHandshake(SSLSocketImpl.java:1387)
    at sun.net.www.protocol.https.HttpsClient.afterConnect(HttpsClient.java:559)
    at sun.net.www.protocol.https.AbstractDelegateHttpsURLConnection.connect(AbstractDelegateHttpsURLConnection.java:185)
    at sun.net.www.protocol.https.HttpsURLConnectionImpl.connect(HttpsURLConnectionImpl.java:153)
    at sun.plugin.PluginURLJarFileCallBack.connect(Unknown Source)
    at sun.plugin.PluginURLJarFileCallBack.retrieve(Unknown Source)
    at sun.net.www.protocol.jar.URLJarFile.retrieve(URLJarFile.java:205)
    at sun.net.www.protocol.jar.URLJarFile.getJarFile(URLJarFile.java:71)
    at sun.net.www.protocol.jar.JarFileFactory.get(JarFileFactory.java:109)
    at sun.net.www.protocol.jar.JarURLConnection.connect(JarURLConnection.java:122)
    at sun.plugin.net.protocol.jar.CachedJarURLConnection.connect(Unknown Source)
    at sun.plugin.net.protocol.jar.CachedJarURLConnection.getJarFileInternal(Unknown Source)
    at sun.plugin.net.protocol.jar.CachedJarURLConnection.getJarFile(Unknown Source)
    at com.sun.deploy.security.DeployURLClassPath$JarLoader.getJarFile(Unknown Source)
    at com.sun.deploy.security.DeployURLClassPath$JarLoader.access$800(Unknown Source)
    at com.sun.deploy.security.DeployURLClassPath$JarLoader$1.run(Unknown Source)
    at java.security.AccessController.doPrivileged(Native Method)
    at com.sun.deploy.security.DeployURLClassPath$JarLoader.ensureOpen(Unknown Source)
    at com.sun.deploy.security.DeployURLClassPath$JarLoader.<init>(Unknown Source)
    at com.sun.deploy.security.DeployURLClassPath$3.run(Unknown Source)
    at java.security.AccessController.doPrivileged(Native Method)
    at com.sun.deploy.security.DeployURLClassPath.getLoader(Unknown Source)
    at com.sun.deploy.security.DeployURLClassPath.getLoader(Unknown Source)
    at com.sun.deploy.security.DeployURLClassPath.getResource(Unknown Source)
    at sun.plugin2.applet.Plugin2ClassLoader$2.run(Unknown Source)
    at sun.plugin2.applet.Plugin2ClassLoader$2.run(Unknown Source)
    at java.security.AccessController.doPrivileged(Native Method)
    at sun.plugin2.applet.Plugin2ClassLoader.findClassHelper(Unknown Source)
    at sun.plugin2.applet.Applet2ClassLoader.findClass(Unknown Source)
    at sun.plugin2.applet.Plugin2ClassLoader.loadClass0(Unknown Source)
    at sun.plugin2.applet.Plugin2ClassLoader.loadClass(Unknown Source)
    at sun.plugin2.applet.Plugin2ClassLoader.loadClass(Unknown Source)
    at java.lang.ClassLoader.loadClass(ClassLoader.java:357)
    at sun.plugin2.applet.Plugin2ClassLoader.loadCode(Unknown Source)
    at sun.plugin2.applet.Plugin2Manager.initAppletAdapter(Unknown Source)
    at sun.plugin2.applet.Plugin2Manager$AppletExecutionRunnable.run(Unknown Source)
    at java.lang.Thread.run(Thread.java:748)

我認為Firefox無法從智能卡正確導入客戶端證書。

編輯：Java控制台中還有另外兩個有趣的行：

security: Accessing keys and certificate in Mozilla user profile: null
security: JSS is not configured

通過增加調試模式（ -Djavax.net.debug=all ），我看到：

• IE瀏覽器 ：

   *** ServerHelloDone [read] MD5 and SHA1 hashes: len = 4 0000: 0E 00 00 00 .... ssl: KeyMgr: getting aliases: [XXXXXXX (verified: OK), YYYYYYYYYYYYYY] ssl: Ignoring alias XXXXXXX (1): key algorithm does not match ssl: Ignoring alias XXXXXXX: key algorithm does not match ssl: Ignoring alias XXXXXXX (2): key algorithm does not match ssl: KeyMgr: no matching alias found ssl: Ignoring alias XXXXXXX (1): key algorithm does not match ssl: Ignoring alias XXXXXXX: key algorithm does not match ssl: Ignoring alias XXXXXXX (2): key algorithm does not match ssl: KeyMgr: no matching alias found *** Certificate chain chain [0] = [ ... 

• 火狐瀏覽器 ：

   *** ServerHelloDone [read] MD5 and SHA1 hashes: len = 4 0000: 0E 00 00 00 .... Warning: no suitable certificate found - continuing without client authentication *** Certificate chain <Empty> *** 

我試過/檢查了很多東西：

• 檢查Firefox上是否正確安裝了IAS_PKCS11模塊：

• 試圖禁用plugins.click_to_play （ https://support.mozilla.org/fr/questions/933135 ）
• 在<applet>檢查參數順序（ Java Applet中使用<object>標記的ClassNotFoundException ）
• 清除緩存，添加JRE參數，重新安裝JRE ...（ https://support.mozilla.org/fr/questions/945083 ）
• 啟用security.enterprise_roots.enabled （ https://support.umbrella.com/hc/en-us/articles/115000669728-Configuring-Firefox-to-use-the-Windows-Certificate-Store ）
• 使用<embed>或<object>而不是<applet> 。
• 在Java配置中的高級安全性參數中嘗試了很多組合

• 禁用一些安全檢查（CRL等）。

• 編輯 ：根據JDK-6975851 ， JSS doc ， NSS版本 ，我已經構建了基於NSS 3.28.3的JSS_4_4_20170313和帶有VS2019 + Windows Kit 10工具和庫，Java 8的NSPR 4.13.1 。我已經安裝了DLL文件（jss4。 dz，libplc4.dll，libnspr4.dll，libplds4.dll）在Mozilla Firefox目錄中，jss4.jar在jre_path / lib / ext目錄中。 所有這些努力都沒有成功...... :(

我真的需要幫助。

任何想法？ （我無法將applet切換到另一件事 - 我沒有這個選擇）

Answer 1

看起來問題出在您的網絡服務器提供https上。

一個隨機的谷歌拋出了Mozilla安全博客 。 默認情況下，在您使用的Firefox版本中禁用SHA-1（52）。 MD5是一種比SHA-1更差的哈希算法。

所以大概你應該至少更新網絡服務器。 如果你不顧一切地繼續使用本應該已經裝箱的軟件，那么我猜你在Firefox中可能仍然有配置選項，或者使用版​​本51，但我真的不推薦它。