为什么TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA和TLS_RSA_WITH_3DES_EDE_CBC_SHA被认为是“弱”但被nmap和Liberty报告为“强”？

Question

我必须摆脱密码TLS_RSA_WITH_3DES_EDE_CBC_SHA和TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA，因为它们被认为一般较弱，并且被多个安全扫描工具等报告为弱。

为此我已经将WebSphere Liberty配置为使用到目前为止有效的TLSv1.2。但遗憾的是，这些密码仍然受到TLSv1.2的支持，尽管WebSphere Liberty默认使用“HIGH”的安全级别，甚至nmap对这些密码显示“强”。

这是我的困惑开始的地方。为什么这些密码被nmap和WebSphere Liberty认为是强大的，但是被不同的安全扫描工具报告为“弱”？什么是正确的，在没有手动指定允许的密码列表的情况下，在WebSphere Liberty中摆脱这些的最简单方法是什么？

Answer 1

如果Nmap报告的内容为＆＃34; strong＆＃34;那么你使用的是过时的版本。 2015年6月发布的6.49BETA系列版本引入了ssl-enum-ciphers脚本的大大改进版本，它将每个密码套件和证书强度评定为一个＆＃34; A＆＃34; - ＆＃34; F＆＃34;得分，类似于SSL实验室。假设3DES密码组具有112位的有效密钥长度，导致最大分数为＆＃34; C＆＃34;。 您始终可以访问https://nmap.org/download.html获取最新版本的Nmap

Answer 2

您可以尝试使用 jdk.tls.disabledAlgorithms 禁止3DES  IBM JDK工具：

https://www.ibm.com/support/knowledgecenter/SSYKE2_8.0.0/com.ibm.java.security.component.80.doc/security-component/jsse2Docs/disabledalgorithms.html