我觉得我应该提供一些解释,说明为什么我想实施似乎是一个不好的解决方案...。
我是系统管理员,不是Java程序员,并且继承了在Tomcat中运行Java 1.7的各种应用程序。
尽管我渴望将所有这些升级,但是这需要时间和开发团队的合作。我最大的担忧(而不是局部地)是从网络中删除SSLv3,TLS / 1.0和TLS / 1.1。传入连接的SSL终止由代理处理,因此我(原则上)可以停止公开那里服务中的漏洞,但是,这将破坏在单独的JVM中运行并通过HTTPS进行通信的组件之间的集成(例如,CAS身份验证)。
(是的,我可以运行单独的内部/外部代理,也可以使用直接寻址绕过代理....但这似乎更像是一个hack)
这带给我我的问题。...
BouncyCastle仅提供密码套件还是提供TLS?
如果我安装了bouncycastle as a provider,这些较旧的Java应用程序将能够使用TLS / 1.2发出HTTPS客户端请求,还是需要进一步的代码更改?
答案 0 :(得分:0)
BouncyCastle提供程序将允许您使用jvm不支持的密码。但是,根据您的jvm版本,可能不支持tls 1.2协议。看来Java 7应该可以支持它。
无论哪种方式,要强制使用tls1.2,都需要进一步的配置,但不必进行代码更改。您的服务器必须配置为专用(配置可能是特定于供应商的)。您的客户端也可以配置为也仅使用tls1.2(例如,使用-Dhttps.protocols)。
有关更多信息,请参见https://blogs.oracle.com/java-platform-group/diagnosing-tls,-ssl,-and-https。