覆盖jetty默认密码

我最初的问题是，当我在jetty配置文件中使用IncludeCipherSuites选项时，只支持TLS1.2。详情请参阅以下帖子：

根据评论，如果我没有在jetty配置文件中提供ExcludeCipherSuite，那么jetty默认排除密码列表将被使用，许多我通过IncludecipherSuite选项显式启用的密码将被排除（如果它们在jetty默认排除列表中）

只需在同一配置文件中添加一个空的ExcludeCipherSuites标记和IncludeCipherSuites标记，就解决了这个问题。我的意思是我没有添加任何要排除的密码，我只是添加了带有空密码列表的ExcludeCipherSuites标记：

我的理解是，以前（只有IncludeCipherSuites选项）我包含的一些密码被jetty默认排除列表排除。但是，添加带有空列表的ExcludeCipherSuites选项会强制使用空列表覆盖jetty的默认排除列表，因此我的包含密码列表中不会排除任何内容。你能确认我的理解是正确的吗

此外，根据上述所有发现，jetty的密码默认配置如下：

Jetty default exclude ciphers: CIPHER1, CIPHER2
Jetty default include ciphers: CIPHER3, CIPHER4

我想将jetty配置为仅支持CIPHER1和CIPHER5。以下是我应该使用的正确配置吗

密码1
密码2

---

这会覆盖所有jetty默认值并强制jetty支持CIPHER1和CIPHER2而不支持其他内容吗？

jetty不会禁用协议TLS/1.0或TLS/1.1

协议、密码、密钥库、信任库等的配置都由

SslContextFactory能够禁用协议，使用包括/排除协议的配置，如

请注意，Jetty的默认除外条款中不包括TLS/1.0或TLS/1.1

截止日期如下：

addExcludeProtocols（“SSL”、“SSLv2”、“SSLv2Hello”、“SSLv3”）；

由于您似乎特别询问密码套件，请了解以下内容：

setExcludeCipherSuite（“^.*(MD5 | SHA | SHA1）$”；

这恰好是2008年宣布易受攻击的同一组密码套件，将于2017年1月1日停止在Chrome和Firefox客户端上使用。过去几年（5-ish？）发布的所有Chrome和Firefox版本中都有MD5/SHA/SHA1的kill开关

还要注意，Java本身禁用了各种协议和密码套件算法

$grep-E“^jdk.*已禁用”$JAVA\u HOME/jre/lib/security/JAVA.security
jdk.certpath.disabledAlgorithms=MD2，MD5，RSA密钥大小<1024
jdk.tls.disabledAlgorithms=SSLv3，RC4，MD5带RSA，DH keySize<768

Jetty不禁用协议TLS/1.0或TLS/1.1

协议、密码、密钥库、信任库等的配置都由

SslContextFactory能够禁用协议，使用包括/排除协议的配置，如

请注意，Jetty的默认除外条款中不包括TLS/1.0或TLS/1.1

截止日期如下：

addExcludeProtocols（“SSL”、“SSLv2”、“SSLv2Hello”、“SSLv3”）；

由于您似乎特别询问密码套件，请了解以下内容：

setExcludeCipherSuite（“^.*(MD5 | SHA | SHA1）$”；

这恰好是2008年宣布易受攻击的同一组密码套件，将于2017年1月1日停止在Chrome和Firefox客户端上使用。过去几年（5-ish？）发布的所有Chrome和Firefox版本中都有MD5/SHA/SHA1的kill开关

还要注意，Java本身禁用了各种协议和密码套件算法

$grep-E“^jdk.*已禁用”$JAVA\u HOME/jre/lib/security/JAVA.security
jdk.certpath.disabledAlgorithms=MD2，MD5，RSA密钥大小<1024
jdk.tls.disabledAlgorithms=SSLv3，RC4，MD5带RSA，DH keySize<768

您询问的设置与internet上的一般用途不兼容，它只适用于具有高度受控客户端访问的高度隔离/内部环境。这就是您真正想要的吗？您询问的设置与internet上的一般用途不兼容，它只适用于具有高度受控客户端访问的高度隔离/内部环境。这就是你真正想要的吗？