Java 弱密码套件的好列表答案

【问题标题】：Good list of weak cipher suites for JavaJava 弱密码套件的好列表
【发布时间】：2011-01-15 08:08:16
【问题描述】：

我正在运行一个需要弱密码套件黑名单的服务器。

那么以下哪项是弱项？ http://java.sun.com/javase/6/docs/technotes/guides/security/SunProviders.html#SunJSSEProvider

【问题讨论】：

在 Java 中支持椭圆曲线非常困难。 RSA、Diffie-Hellman 和 Triple-DES 并不“弱”，它们只是不是“最好的”。

标签： java ssl encryption

【解决方案1】：

为什么需要排除坏的？为什么不只包括好的？

对于初学者，我会遵循 NSA Suite B 指南，特别是 RFC 5430

【讨论】：

@John Smith：同意凯文的观点。对于与安全相关的任何内容，请默认禁用所有内容，然后将您想要允许的内容列入白名单。好的防火墙也是这样配置的：默认拒绝一切，将授权流量“列入白名单”。
Jetty 在 6.1.21 版本之前使用黑名单，所以我现在被卡住了，哈哈
@John 我们通过覆盖 SslSocketConnector#createFactory() 方法来提供一个预配置的 SSLServerSocketFactory 来解决这个问题，该方法将创建启用了正确密码套件的套接字。
我知道，但我现在无法更改，所以一切都很好。如果我正确理解 RFC，则 JAVA 支持的仅有的两个可行密码套件是：TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA、TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
您可以从这里获取启用密码套件的默认列表。我想，任何在 RFC 5430 中但不在 RFC 5430 中的东西都可以被认为是“弱”：java.sun.com/javase/6/docs/api/javax/net/ssl/…

【解决方案2】：

很确定 Jetty 是黑名单。

反正我的问题已经解决了。谢谢

【讨论】：

【解决方案3】：

Jetty 的 after 7.0.2 版本现在包括密码套件的白名单功能。只需在您的 etc/jetty-ssl.xml 中添加一个部分，如下所示：

  <Call name="addConnector">
    <Arg>
      <New class="org.eclipse.jetty.server.ssl.SslSelectChannelConnector">
        <Arg><Ref id="sslContextFactory" /></Arg>
        <Set name="Port">8443</Set>
        <Set name="maxIdleTime">30000</Set>
        <Set name="Acceptors">2</Set>
        <Set name="AcceptQueueSize">100</Set>

        <!--you can enable cipher suites in the following section. -->
        <Set name="IncludeCipherSuites">
          <Array type="java.lang.String">
            <Item>TLS_DHE_RSA_WITH_AES_128_CBC_SHA</Item>
            <Item>SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA</Item>
            <Item>TLS_RSA_WITH_AES_128_CBC_SHA</Item>
            <Item>SSL_RSA_WITH_3DES_EDE_CBC_SHA</Item>

            <Item>TLS_DHE_DSS_WITH_AES_128_CBC_SHA</Item>
            <Item>SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA</Item>
          </Array>
        </Set>
      </New>
    </Arg>
  </Call>

这样做会自动将本节中未列出的所有密码套件列入黑名单。

【讨论】：