У нас есть сервер приложений Weblogic. Каждый раз, когда веб-браузер отправляет запрос, как часть процесса создания туннеля, он отправляет список предпочтительных наборов шифров.
Вопросы:
Как мне узнать, какой набор шифров или шифр по умолчанию, выбранный сервером WL? Я знаю, что могу использовать Fiddler, чтобы получить эти детали; также я могу щелкнуть правой кнопкой мыши значок блокировки HTTPS в браузере и получить его. Но я хочу узнать со стороны сервера Weblogic, какой костюм Cipher был выбран, определен ли он в некоторой среде Weblogic .sh
файл?.
Есть ли способ изменить приоритет шифра в Weblogic? Я провел небольшое исследование и смог найти - Dweblogic.security.SSL.Ciphersuites=TLS_RSA_WITH_AES_256_CBC_SHA256"
.
Что произойдет, если я настрою Weblogic для использования вышеупомянутого шифра, а его нет в списке шифров, отправленном браузером? Я думаю, что создание туннеля не удастся, и клиенту / браузеру будет показана некоторая ошибка, такая как отказ в соединении или сбой.
Я был бы очень признателен, если бы эти ответы также были предоставлены с точки зрения Apache.
Я думаю, что могу пролить свет на некоторые вопросы
Weblogic использует набор Cipher по умолчанию в зависимости от типа безопасности, который вы используете (JSSE или нет), и это варьируется от версии к версии. Например, 10.3.0 будет использовать совершенно другой набор, чем 10.3.6. Вам нужно будет найти это в зависимости от вашей версии. Чтобы убедиться в этом, попробуйте включить отладку SSL на консоли, и она должна сообщать вам подробности каждого соединения.
Я бы предложил использовать apache в качестве веб-интерфейса, устанавливая в нем набор шифров. Вы увидите простоту в этом, и в качестве дополнительного бонуса вы можете установить его на @STRENGTH, который будет пробовать рукопожатие от самого сильного к самому слабому алгоритму.
Поэтому, если вы настроите сервер apache httpd впереди и наложите там ограничения, вам не нужно будет связываться с weblogic и не нужно будет беспокоиться об обновлении java и weblogic ежеквартально, когда есть обновления безопасности или критические обновления.
Дополнение:
Исправления безопасности для weblogic не заканчиваются только на weblogic, но также должны выполняться с помощью java. Но для apache вам не всегда нужно обновлять apache, только мод openssl и openssl, от которых он зависит. Этот процесс очень упрощает установку исправлений безопасности.
У Apache есть несколько параметров конфигурации, которые вы можете использовать для ограничения шифров.
SSLProtocol: Позволяет вручную указать шифры или удалить их.
SSLCipherSuite: Позволяет вам выбрать Cipher Suite, который вы хотите разрешить. Также есть возможность позволить вам сказать + HIGH + MEDIUM + LOW для набора шифров с высокой и низкой стойкостью, как определено openssl. Вы также можете сказать @STRENGTH, и клиент подключится к серверу с помощью самой надежной комбинации шифр-протокола, с которой он может выполнить рукопожатие.
В крем-де-ла-крем - это параметры ведения журнала, доступные для SSL и любых других общих требований, которые вы хотели бы использовать для устранения неполадок.
Подробнее о них здесь:
https://www.openssl.org/docs/manmaster/apps/ciphers.html
http://httpd.apache.org/docs/2.4/ssl/ssl_howto.html
Примечание. OpenSSL и apache широко поддерживаются и тестируются экспертами и являются своего рода неписаным стандартом, позволяющим использовать его (http-сервер) в качестве приложения, выходящего в Интернет, а не любого приложения на основе Java.