Назад | Перейти на главную страницу

Что могло установить 2 новых шифра DH в SChannel?

Половина браузеров IE 11.0.9600 моих пользователей внезапно перестали подключаться к моим старым серверам WebLogic (Java). После некоторых поисков все пользователи, которые в настоящее время не могут подключиться к этим старым серверам WL, установили 2 шифра DH:

TLS_DHE_RSA_WITH_AES_128_CBC_SHA  =         0x0033,
TLS_DHE_RSA_WITH_AES_256_CBC_SHA  =         0x0039,

Откуда могли взяться эти шифры? Насколько я могу найти, они не упоминаются ни в какой документации Microsoft. Я вижу, что они упоминаются в IBM SSL SDK и Apple Open Source, но у меня есть люди, у которых установлено все наше оборудование IBM, у которых нет этих шифров, и я установил iTunes на тестовом ПК, и он не установил эти шифровки. Если бы Microsoft, IBM и Apple не установили их на компьютеры моих пострадавших пользователей, что могло бы это сделать?

Для меня не так важен вопрос, как его источник. Симптомом является то, что эти два шифра выглядят выше в порядке шифрования, чем следующий общий шифр (AES128 с RSA), поэтому он выбирается в рукопожатии на этих машинах. Согласование не удается, потому что старые серверы WL отправляют 512-битный ключ DH, а Microsoft SChannel теперь требует 1024. Новые серверы WL отправляют 1024, и мы можем это исправить. Мы также можем ввести ключ реестра, чтобы SChannel принял ключ 0x0200 (512 бит). Итак, мы можем достаточно легко исправить эту точечную проблему на любом конце, но загадка заключается в том, чтобы понять, откуда на самом деле пришли эти шифры.

Спасибо за любую помощь. Я подумал о том, чтобы отправить это в SuperUser, но решил, что проблема была более заметна на стороне сервера.