Назад | Перейти на главную страницу

Как отключить шифры DES и 3DES на порту диспетчера узлов Oracle WebLogic Server (5556) на сервере Red Hat linux

Как отключить шифры DES и 3DES на порту диспетчера узлов Oracle WebLogic Server (5556) на сервере Red Hat linux. Я пробовал со многими решениями, но не работал должным образом. Вот мой код SSLCipherSuite в файле ssl.conf.

SSLCipherSuite SSL_RSA_WITH_RC4_128_MD5,SSL_RSA_WITH_RC4_128_SHA,SSL_RSA_WITH_3DES_EDE_CBC_SHA,SSL_RSA_WITH_DES_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,!aNULL,!eNULL,!LOW,!MD5,!EXP,!PSK,!SRP,!DSS,!RC4,!3DES

Удалите шифры SSL_RSA_WITH_3DES_EDE_CBC_SHA и SSL_RSA_WITH_DES_CBC_SHA из вашего списка шифров. Вам также следует удалить SSL_RSA_WITH_RC4_128_MD5 и SSL_RSA_WITH_RC4_128_SHA из списка, так как они оба считаются небезопасными. Я не верю, что вы получаете пользу от !aNULL,!eNULL,!LOW,!MD5,!EXP,!PSK,!SRP,!DSS,!RC4,!3DES спецификации, если вы перечисляете отдельные шифры.

Если ваш сервер доступен в Интернете, рассмотрите возможность запуска SSLLabs Анализ на вашем сервере. Если нет, вы можете использовать nmap –script ssl-enum-ciphers чтобы проверить вашу конфигурацию.

Вы должны отключить шифрование в своей конфигурации Java. Видеть: https://security.stackexchange.com/questions/120347/how-to-disable-weak-cipher-suits-in-java-application-server-for-ssl для подробностей.

Вы можете рассмотреть возможность использования TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 и TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA. Однако у Java была проблема с этими шифрами, из-за которой 1 из 256 соединений с хостами, соответствующими стандартам, терпели неудачу. Это должно быть исправлено в последней версии.

Вы должны иметь возможность установить безопасный набор шифров, добавив их в командную строку Java. (Используйте только последний шифр, если вы не используете последнюю версию Java.)

-Dhttps.cipherSuites=TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA

Если вы хотите использовать 256-битное шифрование, продублируйте каждый шифр по порядку и измените 128 на 256 в одном из дубликатов. Кажется, нет веских причин использовать 256 бит, и есть сообщения, что использование 256 бит может позволить некоторые временные атаки.