1. дома
  2. Вопрос и ответ
  3. Включение сильных шифров в Tomcat 5

Включение сильных шифров в Tomcat 5

2009-11-12 2 views
4

Я пытаюсь уточнить набор шифров, который позволяет мой webapp.Включение сильных шифров в Tomcat 5

В server.xml Tomcat, я есть следующий соединитель определен:

<Connector port="443" maxHttpHeaderSize="8192" 
      maxThreads="3000" minSpareThreads="250" maxSpareThreads="500" 
      enableLookups="false" disableUploadTimeout="true" 
      acceptCount="1000" connectionTimeout="40000" 
      scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" 
      ciphers="SSL_RSA_WITH_RC4_128_MD5, SSL_RSA_WITH_RC4_128_SHA, 
      TLS_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_RSA_WITH_AES_128_CBC_SHA, 
      TLS_DHE_DSS_WITH_AES_128_CBC_SHA, SSL_RSA_WITH_3DES_EDE_CBC_SHA, 
      SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA, SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA, 
      ADH-AES256-SHA, AES256-SHA, DHE-DSS-AES256-SHA, DHE-RSA-AES256-SHA" 
      keystoreFile="REDACTED" keystorePass="REDACTED" />

Сервер начинает просто отлично. Все работает. Однако, когда я запускаю sslscan на сервере, 256-битные шифры показывают, что они не поддерживаются.

(Abbreviated, sorted output) 
Accepted SSLv3 128 bits AES128-SHA 
Accepted SSLv3 128 bits DHE-RSA-AES128-SHA 
Accepted SSLv3 128 bits RC4-MD5 
Accepted SSLv3 128 bits RC4-SHA 
Accepted SSLv3 168 bits DES-CBC3-SHA 
Accepted SSLv3 168 bits EDH-RSA-DES-CBC3-SHA 
Accepted TLSv1 128 bits AES128-SHA 
Accepted TLSv1 128 bits DHE-RSA-AES128-SHA 
Accepted TLSv1 128 bits RC4-MD5 
Accepted TLSv1 128 bits RC4-SHA 
Accepted TLSv1 168 bits DES-CBC3-SHA 
Accepted TLSv1 168 bits EDH-RSA-DES-CBC3-SHA 
Rejected SSLv3 256 bits ADH-AES256-SHA 
Rejected SSLv3 256 bits AES256-SHA 
Rejected SSLv3 256 bits DHE-DSS-AES256-SHA 
Rejected SSLv3 256 bits DHE-RSA-AES256-SHA 
Rejected TLSv1 256 bits ADH-AES256-SHA 
Rejected TLSv1 256 bits AES256-SHA 
Rejected TLSv1 256 bits DHE-DSS-AES256-SHA 
Rejected TLSv1 256 bits DHE-RSA-AES256-SHA

Кроме того, сканирование показывает, что предпочтительными являются шифры сервера "SSLv3 128 бит DHE-RSA-AES128-SHA" и "TLSv1 128 бит DHE-RSA-AES128-SHA". Я в порядке, если Tomcat предпочтет работать с 128-битными шифрами, но я хотел бы обслуживать любых строгих клиентов, которые происходят.

Что я упускаю из виду?

источник

2009-11-12 Omniwombat

+0

Я посмотрел на вопрос здесь «сильной Ssl-с-TOMCAT-6» Я считаю, что я использую файлы политики неограниченной силы, но будет проверять использует Tomcat или нет. – Omniwombat

ответ

4

Похоже, вы используете имена sslscan, которые JSSE не понимает. Вот шифры, поддерживаемые Sun JSSE,

SSL_DHE_DSS_EXPORT_WITH_DES40_CBC_SHA 
SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA 
SSL_DHE_DSS_WITH_DES_CBC_SHA 
SSL_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA 
SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA 
SSL_DHE_RSA_WITH_DES_CBC_SHA 
SSL_RSA_EXPORT_WITH_DES40_CBC_SHA 
SSL_RSA_EXPORT_WITH_RC4_40_MD5 
SSL_RSA_WITH_3DES_EDE_CBC_SHA 
SSL_RSA_WITH_DES_CBC_SHA 
SSL_RSA_WITH_RC4_128_MD5 
SSL_RSA_WITH_RC4_128_SHA 
TLS_DHE_DSS_WITH_AES_128_CBC_SHA 
TLS_DHE_DSS_WITH_AES_256_CBC_SHA 
TLS_DHE_RSA_WITH_AES_128_CBC_SHA 
TLS_DHE_RSA_WITH_AES_256_CBC_SHA 
TLS_RSA_WITH_AES_128_CBC_SHA 
TLS_RSA_WITH_AES_256_CBC_SHA

источник

2009-11-13 03:44:23

+0

Это сделало. Благодарю. Кроме того, я нашел более полный список по адресу http://java.sun.com/j2se/1.5.0/docs/guide/security/jsse/JSSERefGuide.html#AppA – Omniwombat

+0

Последние названия JAVA 7 перечислены здесь: http: //docs.oracle.com/javase/7/docs/technotes/guides/security/StandardNames.html#ciphersuites – atom88

 Смежные вопросы

  • Нет связанных вопросов^_^