Я пытаюсь указать, какие наборы шифров следует использовать в моей конфигурации Tomcat, например:
<Connector
port="9443"
protocol="org.apache.coyote.http11.Http11Protocol"
enableLookups="false"
SSLEnabled="true"
scheme="https"
secure="true"
clientAuth="want"
keystoreFile="{omitted}"
SSLImplementation="edu.internet2.middleware.security.tomcat6.DelegateToApplicationJSSEImplementation"
sslEnabledProtocols = "TLSv1,TLSv1.1,TLSv1.2"
ciphers="TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256,
TLS_DHE_DSS_WITH_AES_128_GCM_SHA256,
TLS_ECDHE_RSA_WITH_AES_128_SHA256,
TLS_ECDHE_ECDSA_WITH_AES_128_SHA256,
TLS_ECDHE_RSA_WITH_AES_128_SHA,
TLS_ECDHE_ECDSA_WITH_AES_128_SHA,
TLS_ECDHE_RSA_WITH_AES_256_SHA384,
TLS_ECDHE_ECDSA_WITH_AES_256_SHA384,
TLS_ECDHE_RSA_WITH_AES_256_SHA,
TLS_ECDHE_ECDSA_WITH_AES_256_SHA,
TLS_DHE_RSA_WITH_AES_128_SHA256,
TLS_DHE_RSA_WITH_AES_128_SHA,
TLS_DHE_DSS_WITH_AES_128_SHA256,
TLS_DHE_RSA_WITH_AES_256_SHA256,
TLS_DHE_DSS_WITH_AES_256_SHA,
TLS_DHE_RSA_WITH_AES_256_SHA"
/>
Однако при проверке сервера с помощью Qualy SSL Labs я получаю максимум F за поддержку небезопасных шифров, таких как
TLS_DHE_RSA_WITH_AES_128_CBC_SHA (0x33)
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 (0x67)
TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA (0x16)
и т.п.
Эти наборы не отображаются в ciphers атрибут, и я понятия не имею, откуда они взяты. Любые намеки на то, почему кажется, что список шифров из элемента коннектора игнорируется?
Версия Tomcat - 6.0.24.
Обновить: Еще более интересно то, что Qualys заявляет, что возможный набор шифров
TLS_RSA_WITH_RC4_128_MD5
пока это не появляется в документы перечисление доступных апартаментов.