专栏首页龙首琴剑庐Tomcat6/7应用服务器-禁用RC4等弱密码套件

Tomcat6/7应用服务器-禁用RC4等弱密码套件

最近更新了新版浏览器的同学是不是偶尔会遇到SSL加密协议不灵,访问不了的情况? 最典型的例子是使用FF39+访问某些网站时报错:Error code: ssl_error_weak_server_ephemeral_dh_key

或者使用IBMAppScan扫描会出现类似“检测到 RC4 密码套件”的中危漏洞。(注意不同版本的AppScan检测机制可能不同)

加固方法: 1、首先你要确保你的密钥(证书)加密长度>1023bit,因为<1023bit FF会认为不安全。自签名证书的,自己去看看怎么把key size设置为1024或大于1024。如果是CA机构签名的,就需要去CA机构申请重新签名更换证书。

2、服务器SSL设置中,要disable DHE cipher suites,要disable TLSv2 TLSv3,启用TLSv1,TLSv1.1,TLSv1.2。

3、密码套件根据Tomcat应用服务器和jdk使用。(修改conf\server.xml文件配置) 3.1)如:Tomcat 6或7 + jdk6 的密码套件配置示例:

<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
                 sslEnabledpotocols="TLSv1,TLSv1.1,TLSv1.2"
               maxThreads="150" scheme="https" secure="true"
               clientAuth="false" keystoreFile="D:\backup\myssl.jks" keystorePass="myPassword"  
               sslProtocol="TLS"      ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA,TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA,TLS_ECDH_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA,TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA,TLS_ECDH_RSA_WITH_AES_128_CBC_SHA,TLS_ECDH_ECDSA_WITH_RC4_128_SHA,TLS_ECDH_RSA_WITH_RC4_128_SHA,TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA,TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA,TLS_ECDH_ECDSA_WITH_3DES_EDE_CBC_SHA,TLS_ECDH_RSA_WITH_3DES_EDE_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA"
            />

关键节点:sslEnabledpotocols、 sslProtocol

3.2)如:Tomcat 7+ jdk7 的密码套件配置示例: 请参考:https://support.comodo.com/index.php?/Knowledgebase/Article/View/659

<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
                 sslEnabledpotocols="TLSv1,TLSv1.1,TLSv1.2"
               maxThreads="150" scheme="https" secure="true"
               clientAuth="false" keystoreFile="D:\backup\myssl.jks" keystorePass="myPassword"  
               sslProtocol="TLS"                         ciphers="TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA384,TLS_ECDH_RSA_WITH_AES_256_CBC_SHA384,TLS_DHE_DSS_WITH_AES_256_CBC_SHA256,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA,TLS_ECDH_RSA_WITH_AES_256_CBC_SHA,TLS_DHE_DSS_WITH_AES_256_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256,TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256,TLS_DHE_DSS_WITH_AES_128_CBC_SHA256,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA,TLS_ECDH_RSA_WITH_AES_128_CBC_SHA,TLS_DHE_DSS_WITH_AES_128_CBC_SHA,TLS_ECDHE_ECDSA_WITH_RC4_128_SHA,TLS_ECDH_ECDSA_WITH_RC4_128_SHA,TLS_ECDH_RSA_WITH_RC4_128_SHA,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384,TLS_DHE_DSS_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256,TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256,TLS_DHE_DSS_WITH_AES_128_GCM_SHA256,TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA,TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA,TLS_ECDH_ECDSA_WITH_3DES_EDE_CBC_SHA,TLS_ECDH_RSA_WITH_3DES_EDE_CBC_SHA,TLS_EMPTY_RENEGOTIATION_INFO_SCSVF"
            />

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • RocketMQ之Pull Consumer负载均衡拉取正确姿势?

    consume offset 是基于topic 以及 消费组 consumer group的,意思是什么?

    斯武丶风晴
  • Mycat -- linux安装与配置笔记

    Mycat介绍,请戳官网:http://www.mycat.io/ 官网地址:http://dl.mycat.io/1.6.5/ 以oracle物理库为例。 1...

    斯武丶风晴
  • mybaits3整合spring总结

    1、maven定义properties: <org.springframework.version>4.3.1.RELEASE</org.springframe...

    斯武丶风晴
  • 服务器SSL不安全漏洞修复方案

    落叶大大
  • Performing Push Install adb: error: failed to get feature set: more than one 解决方案

    小菠萝测试笔记
  • Linux 常用命令(二)

    Linux是一套免费使用和自由传播的类Unix操作系统(主要用在服务器上),接下来详细的介绍一下linux的一些知识。

    小徐
  • 漫画:三种 “奇葩” 的排序算法

    在算法的世界里,有许多高效率的排序算法,比如快速排序、归并排序、桶排序......它们大大提高了程序的性能。

    程序亦非猿
  • oracle 批量清空数据中的数据

    如果执行不成功,直接使用 dbms_output.put_line 输出所需的sql再统一执行

    用户1499526
  • 抓包分析 | APP 抓不到包怎么办?

    •单向验证的情况是客户端校验证书,校验出错就无法访问•双向认证的情况是客户端校验证书的时候,服务端也要校验证书,有一端证书校验失败都无法访问数据。缺点是服务器的...

    咸鱼学Python
  • 爬虫练习-豆瓣读书

    昨晚使用不熟悉的xpath语法解析百度新闻页面碰到了好多坑,今天继续通过简单的豆瓣图书进行练习

    zx钟

扫码关注云+社区

领取腾讯云代金券