1. Accueil
  2. Question et réponse
  3. Activation des chiffrements forts dans Tomcat 5

Activation des chiffrements forts dans Tomcat 5

2009-11-12 7 views
4

J'essaye d'affiner la suite de chiffrements que ma webapp permet.Activation des chiffrements forts dans Tomcat 5

Dans server.xml de Tomcat je le connecteur suivant défini:

<Connector port="443" maxHttpHeaderSize="8192" 
      maxThreads="3000" minSpareThreads="250" maxSpareThreads="500" 
      enableLookups="false" disableUploadTimeout="true" 
      acceptCount="1000" connectionTimeout="40000" 
      scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" 
      ciphers="SSL_RSA_WITH_RC4_128_MD5, SSL_RSA_WITH_RC4_128_SHA, 
      TLS_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_RSA_WITH_AES_128_CBC_SHA, 
      TLS_DHE_DSS_WITH_AES_128_CBC_SHA, SSL_RSA_WITH_3DES_EDE_CBC_SHA, 
      SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA, SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA, 
      ADH-AES256-SHA, AES256-SHA, DHE-DSS-AES256-SHA, DHE-RSA-AES256-SHA" 
      keystoreFile="REDACTED" keystorePass="REDACTED" />

Le serveur démarre très bien. Tout fonctionne. Cependant, lorsque j'exécute sslscan sur le serveur, les chiffrements de 256 bits ne sont pas pris en charge.

(Abbreviated, sorted output) 
Accepted SSLv3 128 bits AES128-SHA 
Accepted SSLv3 128 bits DHE-RSA-AES128-SHA 
Accepted SSLv3 128 bits RC4-MD5 
Accepted SSLv3 128 bits RC4-SHA 
Accepted SSLv3 168 bits DES-CBC3-SHA 
Accepted SSLv3 168 bits EDH-RSA-DES-CBC3-SHA 
Accepted TLSv1 128 bits AES128-SHA 
Accepted TLSv1 128 bits DHE-RSA-AES128-SHA 
Accepted TLSv1 128 bits RC4-MD5 
Accepted TLSv1 128 bits RC4-SHA 
Accepted TLSv1 168 bits DES-CBC3-SHA 
Accepted TLSv1 168 bits EDH-RSA-DES-CBC3-SHA 
Rejected SSLv3 256 bits ADH-AES256-SHA 
Rejected SSLv3 256 bits AES256-SHA 
Rejected SSLv3 256 bits DHE-DSS-AES256-SHA 
Rejected SSLv3 256 bits DHE-RSA-AES256-SHA 
Rejected TLSv1 256 bits ADH-AES256-SHA 
Rejected TLSv1 256 bits AES256-SHA 
Rejected TLSv1 256 bits DHE-DSS-AES256-SHA 
Rejected TLSv1 256 bits DHE-RSA-AES256-SHA

De plus, l'analyse montre que les chiffrements préférés du serveur sont "SSLv3 128 bits DHE-RSA-AES128-SHA" et "TLSv1 128 bits DHE-RSA-AES128-SHA". Je vais bien si Tomcat préfère travailler avec des chiffrements de 128 bit, mais je voudrais servir des clients stricts qui passent par là.

Qu'est-ce que j'ai oublié?

Source

2009-11-12 Omniwombat

+0

J'ai regardé la question ici « forte ssl-avec-tomcat-6 » Je crois que j'utilise les fichiers de politique de force illimitée, mais vérifiera si Tomcat les utilise ou non. – Omniwombat

Répondre

4

On dirait que vous utilisez des noms sslscan que JSSE ne comprend pas. Voici les chiffres pris en charge par Sun JSSE,

SSL_DHE_DSS_EXPORT_WITH_DES40_CBC_SHA 
SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA 
SSL_DHE_DSS_WITH_DES_CBC_SHA 
SSL_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA 
SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA 
SSL_DHE_RSA_WITH_DES_CBC_SHA 
SSL_RSA_EXPORT_WITH_DES40_CBC_SHA 
SSL_RSA_EXPORT_WITH_RC4_40_MD5 
SSL_RSA_WITH_3DES_EDE_CBC_SHA 
SSL_RSA_WITH_DES_CBC_SHA 
SSL_RSA_WITH_RC4_128_MD5 
SSL_RSA_WITH_RC4_128_SHA 
TLS_DHE_DSS_WITH_AES_128_CBC_SHA 
TLS_DHE_DSS_WITH_AES_256_CBC_SHA 
TLS_DHE_RSA_WITH_AES_128_CBC_SHA 
TLS_DHE_RSA_WITH_AES_256_CBC_SHA 
TLS_RSA_WITH_AES_128_CBC_SHA 
TLS_RSA_WITH_AES_256_CBC_SHA

Source

2009-11-13 03:44:23

+0

Ça l'a fait. Merci. Aussi, j'ai trouvé une liste plus complète à http://java.sun.com/j2se/1.5.0/docs/guide/security/jsse/JSSERefGuide.html#AppA – Omniwombat

+0

Les derniers noms de JAVA 7 sont listés ici: http: //docs.oracle.com/javase/7/docs/technotes/guides/security/StandardNames.html#ciphersuites – atom88

Questions connexes

 Questions connexes