Наши текущие (по умолчанию) настройки брандмауэра Sophos (обратный прокси-сервер Apache) не позволяют клиентам Java 6 подключаться через HTTPS. Результат ssltest показывает, что причина в том, что «Клиент не поддерживает параметры DH> 1024 бит».
ssltest отчеты с рейтингом "A" для других сайтов (например, https://bsi.de) докажите, что есть способы настроить брандмауэр HTTPS, чтобы клиенты Java 6 могли подключаться.
Мы связались со службой поддержки Sophos. Их ответ заключался в том, что мы не должны снижать настройки безопасности. Вместо этого наш клиент должен рассмотреть возможность обновления Java.
Оба ответа, безусловно, звучат разумно. Однако мы не можем повлиять на ИТ-конфигурацию нашего клиента.
Вопрос: возможно ли настроить обратный прокси-сервер Apache так, чтобы входящие соединения Java 6 HTTPS были возможны без снижения безопасности?
Если я сравниваю наши наборы серверных шифров с сервером, который поддерживает HTTPS-соединения Java 6, я вижу, что у нас задействовано больше шифров, поэтому я предполагаю, что причина проблем с подключением Java 6 - один из дополнительных шифров. Однако я предполагаю, что удаление некоторых шифров DH может вызвать проблемы с подключением к другим клиентам.
Наш клиент попросил нас удалить все шифры DHE. Эти:
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
TLS_DHE_RSA_WITH_AES_256_CBC_SHA
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA
TLS_DHE_RSA_WITH_AES_128_CBC_SHA
У нас установлено несколько шифров TLS_ECDHE_.
Соответствующая статья на https://security.stackexchange.com/questions/97750/usage-of-ephemeral-diffie-hellman-ciphers-in-2015-and-beyond Говорит, что
Наборы шифров TLS_DHE_xxx редко используются в реальных условиях - только один сайт (Wikipedia.org) из первой десятки сайтов на Alexa.com действительно их использует. Никто из других не делает, вместо этого полагаясь на шифры TLS_ECDHE_xxx или TLS_RSA_xxx. Из этого я могу только сделать вывод, что существует не так много браузеров, на которые влияет неиспользование этих шифров, иначе эти большие сайты отключили бы людей.
Так что я думаю, что эти шифры можно безопасно удалить, если мы знаем, что они не нужны клиентам, и посмотрим, что произойдет.