AWS SDK for Java v2 中 SSL 握手失败问题分析与解决方案

问题背景

在使用 AWS SDK for Java v2 连接 DynamoDB 服务时，部分用户遇到了 SSL 握手失败的问题，错误信息显示为"Unable to execute HTTP request: error:10000410:SSL routines:OPENSSL_internal:SSLV3_ALERT_HANDSHAKE_FAILURE"。这个问题主要出现在特定的 EC2 实例上，并非所有环境都会遇到。

错误现象

当应用程序尝试通过 AWS SDK for Java v2 访问 DynamoDB 服务时，会抛出 SSL 握手异常。完整的错误堆栈显示这是一个 SSLv3 协议级别的握手失败，发生在 Netty 的 SSL 处理层。

技术分析

1. 环境因素：问题主要出现在使用较旧版本 OpenSSL (1.0.2k-fips) 和特定 Java 运行时环境 (GraalVM CE 21.1.0) 的 Linux 系统上。

2. 协议兼容性：错误信息中的"SSLV3_ALERT_HANDSHAKE_FAILURE"表明客户端和服务器在 SSL/TLS 握手阶段无法达成一致的加密协议版本或加密套件。

3. 区域特定：该问题最初在 ap-northeast-1 (东京) 区域被发现，表明可能是该区域端点特定的配置问题。

解决方案

AWS 团队已经确认并修复了 ap-northeast-1 区域端点存在的 SSL 握手问题。对于遇到类似问题的用户，可以采取以下措施：

1. 验证问题是否已解决：首先确认问题是否仍然存在，因为 AWS 已在 2024 年 9 月 19 日修复了该问题。

2. 升级环境组件：

   • 考虑升级 OpenSSL 到较新版本
   • 使用更新的 Java 运行时环境

3. SDK 配置调整：虽然问题已修复，但在某些特殊情况下，可以通过 SDK 配置指定 TLS 协议版本：

   SdkAsyncHttpClient httpClient = NettyNioAsyncHttpClient.builder()
       .tlsTrustManagersProvider(TrustManagerUtils.getDefaultTrustManagerProvider())
       .build();
   

最佳实践

1. 保持环境更新：定期更新 OpenSSL 和 Java 运行时环境，确保支持最新的安全协议。

2. 监控 AWS 状态：关注 AWS 服务健康状态，及时了解区域特定的服务问题。

3. 实现重试机制：在应用程序中实现适当的重试逻辑，处理临时性的网络或服务问题。

总结

SSL 握手问题通常与环境配置或服务端设置有关。AWS SDK for Java v2 提供了灵活的配置选项来适应不同的环境需求。遇到类似问题时，建议首先确认是否是已知的区域性问题，然后考虑环境升级和适当的 SDK 配置调整。