Назад | Перейти на главную страницу

Набор шифров по умолчанию, выбранный сервером

У нас есть сервер приложений Weblogic. Каждый раз, когда веб-браузер отправляет запрос, как часть процесса создания туннеля, он отправляет список предпочтительных наборов шифров.

Вопросы:

  1. Как мне узнать, какой набор шифров или шифр по умолчанию, выбранный сервером WL? Я знаю, что могу использовать Fiddler, чтобы получить эти детали; также я могу щелкнуть правой кнопкой мыши значок блокировки HTTPS в браузере и получить его. Но я хочу узнать со стороны сервера Weblogic, какой костюм Cipher был выбран, определен ли он в некоторой среде Weblogic .sh файл?.

  2. Есть ли способ изменить приоритет шифра в Weblogic? Я провел небольшое исследование и смог найти - Dweblogic.security.SSL.Ciphersuites=TLS_RSA_WITH_AES_256_CBC_SHA256".

  3. Что произойдет, если я настрою Weblogic для использования вышеупомянутого шифра, а его нет в списке шифров, отправленном браузером? Я думаю, что создание туннеля не удастся, и клиенту / браузеру будет показана некоторая ошибка, такая как отказ в соединении или сбой.

Я был бы очень признателен, если бы эти ответы также были предоставлены с точки зрения Apache.

Я думаю, что могу пролить свет на некоторые вопросы

  1. Weblogic использует набор Cipher по умолчанию в зависимости от типа безопасности, который вы используете (JSSE или нет), и это варьируется от версии к версии. Например, 10.3.0 будет использовать совершенно другой набор, чем 10.3.6. Вам нужно будет найти это в зависимости от вашей версии. Чтобы убедиться в этом, попробуйте включить отладку SSL на консоли, и она должна сообщать вам подробности каждого соединения.

    1. SSL.Ciphersuites - это способ ограничить шифрование, которое будет использовать webloigc. Если вы используете TLS_RSA_WITH_AES_256_CBC_SHA256, он попытается установить связь, используя шифры слева направо. Если в нем закончатся упомянутые алгоритмы, он отклонит SSL-соединение. Это строгое соблюдение.

Я бы предложил использовать apache в качестве веб-интерфейса, устанавливая в нем набор шифров. Вы увидите простоту в этом, и в качестве дополнительного бонуса вы можете установить его на @STRENGTH, который будет пробовать рукопожатие от самого сильного к самому слабому алгоритму.

Поэтому, если вы настроите сервер apache httpd впереди и наложите там ограничения, вам не нужно будет связываться с weblogic и не нужно будет беспокоиться об обновлении java и weblogic ежеквартально, когда есть обновления безопасности или критические обновления.

Дополнение:

  1. Исправления безопасности для weblogic не заканчиваются только на weblogic, но также должны выполняться с помощью java. Но для apache вам не всегда нужно обновлять apache, только мод openssl и openssl, от которых он зависит. Этот процесс очень упрощает установку исправлений безопасности.

  2. У Apache есть несколько параметров конфигурации, которые вы можете использовать для ограничения шифров.

SSLProtocol: Позволяет вручную указать шифры или удалить их.

SSLCipherSuite: Позволяет вам выбрать Cipher Suite, который вы хотите разрешить. Также есть возможность позволить вам сказать + HIGH + MEDIUM + LOW для набора шифров с высокой и низкой стойкостью, как определено openssl. Вы также можете сказать @STRENGTH, и клиент подключится к серверу с помощью самой надежной комбинации шифр-протокола, с которой он может выполнить рукопожатие.

В крем-де-ла-крем - это параметры ведения журнала, доступные для SSL и любых других общих требований, которые вы хотели бы использовать для устранения неполадок.

Подробнее о них здесь:

https://www.openssl.org/docs/manmaster/apps/ciphers.html

http://httpd.apache.org/docs/2.4/ssl/ssl_howto.html

Примечание. OpenSSL и apache широко поддерживаются и тестируются экспертами и являются своего рода неписаным стандартом, позволяющим использовать его (http-сервер) в качестве приложения, выходящего в Интернет, а не любого приложения на основе Java.