Я тестирую конфигурацию Tomcat SSL на моем сервере, и я использовал сценарий ssl-enum-ciphers из nmap
и появляется следующее предупреждение:
Ключевые параметры обмена с более низкой стойкостью, чем ключ сертификата
Что это значит? Я не могу найти значимой информации по этому диагнозу.
Шифры Tomcat server.xml:
ciphers="TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_DHE_RSA_WITH_AES_128_GCM_SHA256,
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_DHE_RSA_WITH_AES_128_CBC_SHA256,
TLS_DHE_RSA_WITH_AES_128_CBC_SHA,TLS_DHE_RSA_WITH_AES_256_CBC_SHA256,TLS_DHE_RSA_WITH_AES_256_CBC_SHA,
TLS_RSA_WITH_AES_128_GCM_SHA256,TLS_RSA_WITH_AES_256_GCM_SHA384,TLS_RSA_WITH_AES_128_CBC_SHA256,
TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA"
Это означает, что сервер настроен с сертификатом, имеющим определенную стойкость ключа (возможно, 2048-битный RSA), но конкретный используемый набор шифров настроен на использование другого материала для обмена ключами с более низкой стойкостью. Скорее всего, это параметр Диффи-Хеллмана (DH) с разрядностью 1028 бит.
Чтобы исправить это, вы можете либо удалить из своей конфигурации наборы шифрования для обмена ключами, связанные с DH, либо сгенерировать и настроить более надежные параметры DH. Доступны более прямые инструкции на weakdh.org