【发布时间】:2014-12-27 18:45:54
【问题描述】:
我已将我们的 Tomcat 7 (jdk 7) 服务器配置为仅接受 TLS(1、1.1 和 1.2)协议,以解决 POODLE。我还禁用了所有 DH 密码套件以实现 PCI DSS 合规性。
不幸的是,这会阻止来自 IE8 浏览器(在 XP 上)的所有请求。有没有人解决这个问题。
IE8 似乎支持以下非弱密码: TLS_RSA_WITH_RC4_128_MD5 TLS_RSA_WITH_RC4_128_SHA TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA
但是 jdk 7 没有。
任何帮助表示赞赏。
【问题讨论】:
-
您从哪里得知 DH 密码不允许用于 PCI 合规性?据我所知,它们不是必需的(这与不允许的完全不同),所以有些禁用它们,因为它们有更多的计算开销。但 DH 是与旧客户端(如 IE8)进行保密的唯一方法。
-
来自我的 PCI DSS ASV 远程 SSL/TLS 服务器接受弱 Diffie-Hellman (DH) 公钥值。此漏洞可能有助于攻击者对远程服务器进行中间人 (MiTM) 攻击,因为它可以强制计算完全可预测的 Diffie-Hellman 机密。
-
这主要影响使用 OpenSSL 的系统(我们不这样做)。但它被标记为不合规,我是否删除了这些密码。
-
因此问题不在于使用 DH 密码本身,而在于将弱 DH 密钥对与这些密码一起使用。我认为这应该只与具有 FIPS 模式的 OpenSSL 0.9.8 相关。由于您启用了 TLS1.2,因此您无法使用 OpenSSL 0.9.8(不支持 TLS1.2)。
-
这里有一个类似的问题:serverfault.com/q/645567/216809 看起来
SSL_RSA_WITH_RC4_128_SHA是你需要的
标签: security tomcat ssl poodle-attack