Fatal编程技术网
  • java/
  • Java Tomcat Apache Web服务器仍然使用中等强度(<;112位)的密码,即使在连接器中配置密码也是如此

Java Tomcat Apache Web服务器仍然使用中等强度(<;112位)的密码,即使在连接器中配置密码也是如此

java tomcat ssl

Java Tomcat Apache Web服务器仍然使用中等强度(<;112位)的密码,即使在连接器中配置密码也是如此,java,tomcat,ssl,Java,Tomcat,Ssl,我们已经在ApacheTomcat 6.0.20的8443端口上配置了SSL 我们有一个可用于扫描漏洞的Nessus工具。据报道,该web服务器具有“支持的中等强度密码” 我们浏览了Tomcat文档。我们可以在connector元素的ciphers属性中配置密码列表 我们从IBMJSSE2安全提供程序中配置了密码列表 例如:SSL\u DHE\u RSA\u与\u AES\u 128\u CBC\u SHA 但是,仍然列出了相同的漏洞,并且在“服务器Hello”SSL消息中未选择上述密码。相反,

我们已经在ApacheTomcat 6.0.20的8443端口上配置了SSL

我们有一个可用于扫描漏洞的Nessus工具。据报道,该web服务器具有“支持的中等强度密码”

我们浏览了Tomcat文档。我们可以在connector元素的ciphers属性中配置密码列表

我们从IBMJSSE2安全提供程序中配置了密码列表

例如:SSL\u DHE\u RSA\u与\u AES\u 128\u CBC\u SHA

但是,仍然列出了相同的漏洞,并且在“服务器Hello”SSL消息中未选择上述密码。相反,它只选择了一个中级密码“TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA”

我们知道为什么会有这种行为吗

一些额外的细节:

Tomcat版本:6.0.20 Java版本:J2RE 1.6.0 IBM J9 2.4 AIX ppc-32 jvmap3260sr4ifx-20090409_33254

Java6支持的JSSE密码列表的IBM文档

关于如何配置SSL的Apache Tomcat 6.0文档

server.xml ssl设置

<Connector port="8443" minSpareThreads="5" maxSpareThreads="75" enableLookups="true" disableUploadTimeout="true" acceptCount="100" maxThreads="200" scheme="https" secure="true" SSLEnabled="true" ciphers="TLS_DHE_DSS_WITH_AES_256_CBC_SHA,TLS_DHS_RSA_WITH_A‌​ES_256_CBC_SHA,SSL_R‌​SA_WITH_3DES_EDE_CBC‌​_SHA,SSL_DHE_DSS_WIT‌​H_3DES_EDE_CBC_SHA" >

New, TLSv1/SSLv3, Cipher is EDH-RSA-DES-CBC3-SHA
Server public key is 1024 bit
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : TLSv1
    Cipher    : EDH-RSA-DES-CBC3-SHA
    Session-ID: 58B59B0B19255900580A16786D9F040BE19D236A6C16B1A53C281E6DDE072BDF
    Session-ID-ctx:
    Master-Key: F037145E80507808391326B77F3A175015FAD3C356FDD350ADC8FA69FCB7CEDC0443F3AF10BDA71544806F010D1B3A7C
    Key-Arg   : None
    Start Time: 1488296715
    Timeout   : 300 (sec)
    Verify return code: 18 (self signed certificate)


新的TLSv1/SSLv3密码是EDH-RSA-DES-CBC3-SHA
服务器公钥为1024位
不支持安全重新协商
压缩:无
扩展:无
SSL会话:
协议:TLSv1
密码:EDH-RSA-DES-CBC3-SHA
会话ID:58B59B0B19255900580A16786D9F040BE19D236A6C16B1A53C281E6DDE072BDF
会话ID ctx:
主密钥:F037145E80507808391326B77F3A175015FAD3C356FDD350ADC8FA69FCB7CEDC0443F3AF10BDA71544806F010D1B3A7C
键Arg:无
开始时间:1488296715
超时:300(秒)
验证返回代码:18(自签名证书)
您需要更新tomcat SSL设置,以将sslProtocol从SSL更新为TLS(默认)

对于小于6.0.38的tomcat版本

sslProtocols="TLSv1,TLSv1.1,TLSv1.2"
对于tomcat版本>=6.0.38

sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2"
阅读更多

附加步骤:

下载并更新JVM中的JCE策略JAR,因为tomcat引用JCE for cipher Suite

请共享您的server.xml片段。您可能需要禁用ssl2中较弱的密码。0@monish请查找请求的连接器详细信息``我们已通过仅使用列表中的密码禁用较弱的密码。但是,由于粘贴不当,此列表具有中等强度的密码列表。无法将xml更改为代码块。即使进行了更改,它仍采用较弱的新密码TLSv1/SSLv3,密码为EDH-RSA-DES-CBC3-SHA服务器公钥为1024位安全不支持重新协商压缩:无扩展:无SSL会话:协议:TLSv1密码:EDH-RSA-DES-CBC3-SHA密钥参数:无启动时间:1488296715超时:300(秒)验证返回代码:18(自签名证书)@SashiDharan你能用最新的server.xml更新你的问题吗。看起来,即使您禁用了较低版本的SSL,您显式指定的一个或多个密码仍然很弱。注意,在不同的TLS版本中,不同的密码套件可能被视为弱/强。要了解您应该指定的TLS版本+密码套件的组合,您可以参考此@SashiDharan注意,为了更安全,您不会在web服务器可以提供的密码套件方面受到太多限制。如果没有人可以连接,那么安全就没有意义。我建议您从这里了解JVM版本中可用的密码套件,然后添加所有密码套件,然后点击Nessus工具并删除得到警告的1-1