我的团队目前正在浏览所有应用程序,并针对各种应用程序服务器实施严格的TLS算法策略。由于我们无法控制我们连接的某些应用程序,因此在充当客户端时,我们无法强制执行相同的策略。对于Java应用程序,我们认为在java.security文件中全局实现它是最容易的,而不是单独更新每个应用程序以做正确的事情。这也将使未来的更新变得更加容易。
我看到java.security文件中的许多选项允许区分服务器设置和客户端设置与"使用TLS(服务器|客户端)"约束,但jdk.tls.disabledAlgorithms似乎并没有利用它们。环顾四周,我没有看到任何简单的方法来全局应用仅用于服务器(侦听)连接的算法列表。
你们中是否有人知道如果有一个简单的方法可以做到这一点?
注意:我们已经了解弹簧启动应用程序和这种性质的简单设置,但我们希望找到可以为所有设置适当的密码白名单或黑名单的东西应用程序,包括使用JRE的第三方应用程序。