Как неспециалисты в области администрирования и безопасности веб-серверов, мы изо всех сил пытаемся обновить конфигурацию нашего веб-сервера JBoss 5.1.0 GA для соответствия стандартам Диффи-Хеллмана. JBoss был установлен для нас как часть среднего уровня на более крупной платформе. Мы видели документацию для других серверов Вот, решение для другой версии JBoss Вот, и кое-что, что работало для той же версии JBoss для плаката, но не сработало для нас Вот. Тег коннектора в нашем исходном файле server.xml имеет sslProtocol = "TLS", а атрибут ciphers вообще отсутствует.
Мы попытались вместо этого изменить параметр sslProtocol = "TLS" на множественное число sslProtocols = "TLSv1, TLSv1.1, TLSv1.2" и перезапустить JBoss, но это, похоже, не имело никакого эффекта. Кто-нибудь знает о полезных бесплатных ресурсах, позволяющих заставить JBoss 5.1.0 GA соответствовать стандартам Диффи-Хеллмана? Спасибо.
Фактически вы также можете увеличить размер DHE (1024 и 2048 в Java 8 и до 9192 в Java 9). И вы можете предоставить настраиваемые параметры DH в Java8 +, как описано здесь: https://serverfault.com/a/798036/4591
Для всех, кто сталкивался с этим с JBoss 5.1.0 GA, настройки, которые в итоге сработали для нас, были похожи на следующие:
<Connector protocol="HTTP/1.1" SSLEnabled="true"
port="8543" address="${jboss.bind.address}" scheme="https" secure="true" clientAuth="false"
keystoreFile="/opt/novell/idm/jre/bin/mycert.keystore"
keystorePass="mypassword" sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2"
ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_W ITH_AES_256_CBC_SHA384,
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_W ITH_RC4_128_SHA,
TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_1 28_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,
TLS_RSA_WITH_AES_256_CBC_SHA,SSL_RSA_WITH_RC4_128_SHA" />