Недавно я обновил свой сервер Weblogic до 10.3.6 с java 7. Таким образом, у меня есть TLS1.0 - TLS 1.2, включенный через setEnv.sh. Вот некоторые из шифров, которые я использую, чтобы убедиться, что они совместимы (поддерживаются Weblogic, FF37, Chrome 44 и т. Д.):
<ciphersuite>TLS_RSA_WITH_3DES_EDE_CBC_SHA</ciphersuite>
<ciphersuite>TLS_RSA_WITH_AES_128_CBC_SHA</ciphersuite>
<ciphersuite>TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA</ciphersuite>
<ciphersuite>TLS_RSA_WITH_AES_128_CBC_SHA256</ciphersuite>
<ciphersuite>TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256</ciphersuite><ciphersuite>TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA</ciphersuite>
Это находится в config.xml под тегом ssl. У меня также включен JSSE, чтобы убедиться, что я могу получить соединение TLS1.2.
Найден поддерживаемый шифровальный список для Weblogic 10.3.6. Вот
Одна проблема, которую я вижу в SSL Labs, заключается в том, что с этими шифрами я все еще, возможно, уязвим для POODLE.
Сканирование Nmap дало мне вот что за шифры:
| ssl-enum-ciphers:
| SSLv3:
| ciphers:
| TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA - strong
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong
| TLS_RSA_WITH_3DES_EDE_CBC_SHA - strong
| TLS_RSA_WITH_AES_128_CBC_SHA - strong
| compressors:
| NULL
| TLSv1.0:
| ciphers:
| TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA - strong
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong
| TLS_RSA_WITH_3DES_EDE_CBC_SHA - strong
| TLS_RSA_WITH_AES_128_CBC_SHA - strong
| compressors:
| NULL
| TLSv1.1:
| ciphers:
| TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA - strong
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong
| TLS_RSA_WITH_3DES_EDE_CBC_SHA - strong
| TLS_RSA_WITH_AES_128_CBC_SHA - strong
| compressors:
| NULL
| TLSv1.2:
| ciphers:
| TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA - strong
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 - strong
| TLS_RSA_WITH_3DES_EDE_CBC_SHA - strong
| TLS_RSA_WITH_AES_128_CBC_SHA - strong
| TLS_RSA_WITH_AES_128_CBC_SHA256 - strong
| compressors:
| NULL
|_ least strength: strong
До включения TLS1.1 и TLS1.2 в setEnv.sh у меня не было этой проблемы, поэтому я не уверен, почему их добавление изменило то, что произошло. Теперь мой вопрос: как мне убедиться, что у меня отключен SSL3, но я все еще могу использовать некоторые шифры CBC? или получить необходимую поддержку?
РЕДАКТИРОВАТЬ: Я знаю, что шифрование CBC - не такая уж простая вещь ... Я открыт для предложений по поддержке шифров TLS1.0 + и по браузеру до IE 8.
Сейчас поздно отвечать, но можно использовать в качестве справки в будущем, если вы используете Weblogic 10.3.6, совместимый с JDK7. Недавно Oracle выпустила версию JDK 7u131, которая по умолчанию поддерживает TLS1.1 и TLS1.2. Таким образом, вы можете обновить JDK до 7u131.
Просто убедитесь, что вы используете более позднюю версию Java, чем 7u75 (она отключает их по умолчанию), тогда я думаю, что включение TLS1.0 может привести только к понижению версии для SSLv3, тогда вы можете использовать -Dweblogic.security.SSL.protocolVersion = TLS1 и TLS1 .1. Вы должны были давно отключить CBC https://community.qualys.com/thread/9974. Таким образом, у вас могут быть противоречивые требования.