为Jetty配置SSL密码套件

时间:2016-04-13 17:26:25

标签: ssl encryption jetty

我正在尝试在我的应用程序中为嵌入式jetty服务器设置允许的ssl密码套件。如果我在运行sslscan时出于某种原因仅在xml文件设置中对SslContextFactory使用IncludeCipherSuites设置,则它仅列出TLSv1.2的密码而不是TLSv1.1或TLSv1.0的密码。我需要能够让码头使用所有三个TLS版本。无论如何我可以为Jetty设置IncludeCipherSuite,以便我可以正确设置列表。

1 个答案:

答案 0 :(得分:1)

Jetty 9.3.8禁用SLOTH易受攻击的密码,阻止使用最新版本的Chrome进行正确加密(如果您重新启用SLOTH易受攻击的密码,则会看到a broken padlock icon in Chrome)。

您需要在${jetty.base}/etc/tweak-ssl.xml

中设置${jetty.base}/start.ini和相应的条目
  

注意:您应该使用拆分${jetty.home}${jetty.base}目录结构,修改${jetty.home}内容

此处记录:https://www.eclipse.org/jetty/documentation/current/configuring-ssl.html#configuring-sslcontextfactory-cipherSuites

至于使用什么配置,由您决定。

知道排除战胜包括。如果排除了密码套件,则不会在包含列表中添加密码套件。

  

另外请注意,JVM本身也会禁用各种旧协议和密码套件,遵循Jetty在安全性方面的相同指导原则和更新规范。在不久的将来,您还必须在JVM级别重新启用这些密码和协议。