SpringBoot CBC密码套件和logjam漏洞

时间:2019-07-23 23:02:02

标签: spring-boot security spring-security

我已经在Springboot中配置了密码套件:

我在配置文件中拥有的配置是:

server:
  ssl:
    key-store: /etc/keystore.keystore
    key-store-password: password
    key-alias: default
    trust-store: /etc/truststore.jks
    trust-store-password: secret
    enabled: true
    client-auth: need
    protocol: TLS
    enabled-protocols: TLSv1.2
    ciphers: ECDHE-RSA-AES128-GCM-SHA256,ECDHE-ECDSA-AES128-GCM-SHA256,ECDHE-RSA-AES256-GCM-SHA384,ECDHE-ECDSA-AES256-GCM-SHA384,DHE-RSA-AES128-GCM-SHA256,DHE-DSS-AES128-GCM-SHA256,kEDH+AESGCM,ECDHE-RSA-AES128-SHA256,ECDHE-ECDSA-AES128-SHA256,ECDHE-RSA-AES128-SHA,ECDHE-ECDSA-AES128-SHA,ECDHE-RSA-AES256-SHA384,ECDHE-ECDSA-AES256-SHA384,ECDHE-RSA-AES256-SHA,ECDHE-ECDSA-AES256-SHA,DHE-RSA-AES128-SHA256,DHE-RSA-AES128-SHA,DHE-DSS-AES128-SHA256,DHE-RSA-AES256-SHA256,DHE-DSS-AES256-SHA,DHE-RSA-AES256-SHA,!aNULL,!eNULL,!EXPORT,!DES,!RC4,!3DES,!MD5,!PSK

我已经尝试了在互联网上找到的所有密码套件,但是我总是拥有相同的密码套件,例如:“总体评级B”

使用页面:https://www.ssllabs.com/ssltest/index.html 

 TLS 1.2 (suites in server-preferred order)
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f)   ECDH sect571r1 (eq. 15360 bits RSA)   FS   128
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030)   ECDH sect571r1 (eq. 15360 bits RSA)   FS   256
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 (0x9e)   DH 1024 bits   FS   WEAK   128
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 (0x9f)   DH 1024 bits   FS   WEAK   256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (0xc027)   ECDH sect571r1 (eq. 15360 bits RSA)   FS   WEAK    128
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (0xc013)   ECDH sect571r1 (eq. 15360 bits RSA)   FS   WEAK   128
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (0xc028)   ECDH sect571r1 (eq. 15360 bits RSA)   FS   WEAK    256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (0xc014)   ECDH sect571r1 (eq. 15360 bits RSA)   FS   WEAK   256
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 (0x67)   DH 1024 bits   FS   WEAK   128
TLS_DHE_RSA_WITH_AES_128_CBC_SHA (0x33)   DH 1024 bits   FS   WEAK  128
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 (0x6b)   DH 1024 bits   FS   WEAK   256
TLS_DHE_RSA_WITH_AES_256_CBC_SHA (0x39)   DH 1024 bits   FS   WEAK  256

我有一个带有以下漏洞的报告:

CBC inseguro

Logjam

我已经尝试了Internet上的所有解决方案,但结果却相同。

环境是在Ubuntu中使用Springboot 2(没有apache或tomcat,...),仅在Spring的嵌入式tomcat中使用。

有可能解决这个问题。

谢谢...

1 个答案:

答案 0 :(得分:0)

您可以尝试使用AES_128加密来禁用密码,我想这会提高您的分数,因为您没有像DSA或DES这样的弱密钥交换算法,因此只有这样。

相关问题
最新问题