即使在连接器中配置密码时,Tomcat Apache Web Server仍使用中等强度(<112位)的密码

时间:2017-02-27 12:19:26

标签: java tomcat ssl

我们在Apache Tomcat 6.0.20中以8443端口#。

配置了SSL

我们有可用的Nessus工具来扫描漏洞。它报告说Web服务器支持&#34;中等强度密码&#34;。

我们浏览了Tomcat文档。我们可以在connector元素中配置ciphers属性中的密码列表。

我们从IBMJSSE2安全提供程序配置为密码列表

例如:SSL_DHE_RSA_WITH_AES_128_CBC_SHA

但是,仍然会列出相同的漏洞并且未在&#34;服务器Hello&#34;中选择上述密码。 SSL消息。相反,它正在选择一个中等级密码&#34; TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA&#34;仅

我们知道这种行为的原因吗?

一些额外的细节:

Tomcat版本:6.0.20 Java版本:J2RE 1.6.0 IBM J9 2.4 AIX ppc-32 jvmap3260sr4ifx-20090409_33254

Java6中支持的JSSE密码列表的IBM文档

https://www.ibm.com/support/knowledgecenter/en/SSYKE2_6.0.0/com.ibm.java.security.component.60.doc/security-component/jsse2Docs/ciphersuites.html

Apache Tomcat 6.0有关如何配置SSL的文档 https://tomcat.apache.org/tomcat-6.0-doc/ssl-howto.html

server.xml ssl settings 

<Connector port="8443" minSpareThreads="5" maxSpareThreads="75" enableLookups="true" disableUploadTimeout="true" acceptCount="100" maxThreads="200" scheme="https" secure="true" SSLEnabled="true" ciphers="TLS_DHE_DSS_WITH_AES_256_CBC_SHA,TLS_DHS_RSA_WITH_A‌​ES_256_CBC_SHA,SSL_R‌​SA_WITH_3DES_EDE_CBC‌​_SHA,SSL_DHE_DSS_WIT‌​H_3DES_EDE_CBC_SHA" >

New, TLSv1/SSLv3, Cipher is EDH-RSA-DES-CBC3-SHA
Server public key is 1024 bit
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : TLSv1
    Cipher    : EDH-RSA-DES-CBC3-SHA
    Session-ID: 58B59B0B19255900580A16786D9F040BE19D236A6C16B1A53C281E6DDE072BDF
    Session-ID-ctx:
    Master-Key: F037145E80507808391326B77F3A175015FAD3C356FDD350ADC8FA69FCB7CEDC0443F3AF10BDA71544806F010D1B3A7C
    Key-Arg   : None
    Start Time: 1488296715
    Timeout   : 300 (sec)
    Verify return code: 18 (self signed certificate)

1 个答案:

答案 0 :(得分:0)

您需要更新tomcat SSL设置以将SSL的sslProtocol更新为TLS(默认)

用于tomcat版本&lt; 6.0.38 

sslProtocols="TLSv1,TLSv1.1,TLSv1.2"

表示tomcat版本&gt; = 6.0.38 

sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2"

了解更多here

附加步骤:

下载并更新JVM中的JCE策略jar,因为tomcat引用了JCE for cipher suites

相关问题
最新问题