Как отключить шифры DES и 3DES на порту диспетчера узлов Oracle WebLogic Server (5556) на сервере Red Hat linux. Я пробовал со многими решениями, но не работал должным образом. Вот мой код SSLCipherSuite в файле ssl.conf.
SSLCipherSuite SSL_RSA_WITH_RC4_128_MD5,SSL_RSA_WITH_RC4_128_SHA,SSL_RSA_WITH_3DES_EDE_CBC_SHA,SSL_RSA_WITH_DES_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,!aNULL,!eNULL,!LOW,!MD5,!EXP,!PSK,!SRP,!DSS,!RC4,!3DES
Удалите шифры SSL_RSA_WITH_3DES_EDE_CBC_SHA
и SSL_RSA_WITH_DES_CBC_SHA
из вашего списка шифров. Вам также следует удалить SSL_RSA_WITH_RC4_128_MD5
и SSL_RSA_WITH_RC4_128_SHA
из списка, так как они оба считаются небезопасными. Я не верю, что вы получаете пользу от !aNULL,!eNULL,!LOW,!MD5,!EXP,!PSK,!SRP,!DSS,!RC4,!3DES
спецификации, если вы перечисляете отдельные шифры.
Если ваш сервер доступен в Интернете, рассмотрите возможность запуска SSLLabs Анализ на вашем сервере. Если нет, вы можете использовать nmap –script ssl-enum-ciphers
чтобы проверить вашу конфигурацию.
Вы должны отключить шифрование в своей конфигурации Java. Видеть: https://security.stackexchange.com/questions/120347/how-to-disable-weak-cipher-suits-in-java-application-server-for-ssl для подробностей.
Вы можете рассмотреть возможность использования TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 и TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA. Однако у Java была проблема с этими шифрами, из-за которой 1 из 256 соединений с хостами, соответствующими стандартам, терпели неудачу. Это должно быть исправлено в последней версии.
Вы должны иметь возможность установить безопасный набор шифров, добавив их в командную строку Java. (Используйте только последний шифр, если вы не используете последнюю версию Java.)
-Dhttps.cipherSuites=TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA
Если вы хотите использовать 256-битное шифрование, продублируйте каждый шифр по порядку и измените 128 на 256 в одном из дубликатов. Кажется, нет веских причин использовать 256 бит, и есть сообщения, что использование 256 бит может позволить некоторые временные атаки.