Java弱密码套件的良好列表
我运行的服务器需要一个弱密码套件黑名单 那么,以下哪项是薄弱的?Java弱密码套件的良好列表,java,ssl,encryption,Java,Ssl,Encryption,我运行的服务器需要一个弱密码套件黑名单 那么,以下哪项是薄弱的? 为什么需要排除坏的?为什么不包括好的呢 首先,我会遵循指导原则,特别是非常确定Jetty是黑名单 Jetty版本现在包括密码套件的白名单功能。只需向etc/jetty-ssl.xml添加一个部分,如下所示: <Call name="addConnector"> <Arg> <New class="org.eclipse.jetty.server.ssl.SslSelectC
为什么需要排除坏的?为什么不包括好的呢
首先,我会遵循指导原则,特别是非常确定Jetty是黑名单
- Jetty版本现在包括密码套件的白名单功能。只需向etc/jetty-ssl.xml添加一个部分,如下所示:
<Call name="addConnector"> <Arg> <New class="org.eclipse.jetty.server.ssl.SslSelectChannelConnector"> <Arg><Ref id="sslContextFactory" /></Arg> <Set name="Port">8443</Set> <Set name="maxIdleTime">30000</Set> <Set name="Acceptors">2</Set> <Set name="AcceptQueueSize">100</Set> <!--you can enable cipher suites in the following section. --> <Set name="IncludeCipherSuites"> <Array type="java.lang.String"> <Item>TLS_DHE_RSA_WITH_AES_128_CBC_SHA</Item> <Item>SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA</Item> <Item>TLS_RSA_WITH_AES_128_CBC_SHA</Item> <Item>SSL_RSA_WITH_3DES_EDE_CBC_SHA</Item> <Item>TLS_DHE_DSS_WITH_AES_128_CBC_SHA</Item> <Item>SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA</Item> </Array> </Set> </New> </Arg> </Call>8443 30000 2. 100 TLS_DHE_RSA_与_AES_128_CBC_SHA SSL\u DHE\u RSA\u与CBC\u SHA TLS_RSA_与_AES_128_CBC_SHA SSL_RSA_与_3DES_EDE_CBC_SHA TLS_DHE_DSS_与_AES_128_CBC_SHA SSL\u DHE\u DSS\u与CBC\u SHA
这样做会自动将本节未列出的密码套件列入黑名单。@John Smith:同意Kevin的意见。对于任何与安全性相关的内容,默认情况下禁用所有内容,然后将希望允许的内容列为白名单。这也是配置好防火墙的方式:默认情况下拒绝一切,“白名单”授权流量。Jetty在版本6.1.21之前使用黑名单,所以我现在被卡住了lol@John我们通过覆盖SslSocketConnector#createFactory()来解决这个问题方法提供预配置的SSLServerSocketFactory,该工厂将创建启用了正确密码套件的套接字。我知道,但我现在无法更改,所以一切正常。如果我正确理解RFC,JAVA只支持两个可行的密码套件:TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA、TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA您可以从这里获得启用密码套件的默认列表。我想,在RFC5430中没有的任何东西都可以被认为是“弱的”:在Java中支持椭圆曲线是极其困难的。RSA、Diffie-Hellman和Triple-DES并不是“弱的”,它们只是不是“最好的”。