【问题标题】:Weblogic 12c - Is there any flag to ensure the cipher order on SSL configuration?Weblogic 12c - 是否有任何标志来确保 SSL 配置的密码顺序?
【发布时间】:2015-03-20 17:51:14
【问题描述】:

我实际上正在为我的硕士学位的 Webapp 项目配置 WL12c 环境,该项目将通过 SSL 使用。

对于典型配置,我只是在 JVM 道具上添加以下内容:

-Dweblogic.security.SSL.Ciphersuites=ECDHE-RSA-AES128-GCM-SHA384,ECDHE-RSA-AES128-GCM-SHA128,DHE-RSA-AES128-GCM-SHA384,DHE-RSA-AES128-GCM-SHA128,ECDHE-RSA-AES128-SHA384,ECDHE-RSA-AES128-SHA128,ECDHE-RSA-AES128-SHA,ECDHE-RSA-AES128-SHA,DHE-RSA-AES128-SHA128,DHE-RSA-AES128-SHA128,DHE-RSA-AES128-SHA,DHE-RSA-AES128-SHA,ECDHE-RSA-DES-CBC3-SHA,EDH-RSA-DES-CBC3-SHA,AES128-GCM-SHA384,AES128-GCM-SHA128,AES128-SHA128,AES128-SHA128,AES128-SHA,AES128-SHA,DES-CBC3-SHA
-Dweblogic.security.SSL.protocolVersion=TLS1

我对 TLS1+ 配置没问题,因为我避免使用 RC4 和 CBC 密码..

我真正的问题是,对于其他产品,我有一个标志来确保密码顺序,首先回答“更强大”。请检查带有 SSLHonorCipherOrderssl_prefer_server_ciphers 的行:

# apache
SSLProtocol all -SSLv2 -SSLv3
SSLHonorCipherOrder on
SSLCipherSuite "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 \
EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 \
EECDH EDH+aRSA RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS"

# nginx
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 \
EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 \
EECDH EDH+aRSA RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS";

Weblogic 12c 有这样的标志吗? weblogic.security.SSL.Ciphersuites 上使用的命令是否足够? Oracle 文档对我的发现没有任何确认。

编辑:我使用的是 Java 1.7

谢谢

【问题讨论】:

    标签: java ssl encryption weblogic weblogic12c


    【解决方案1】:

    没有 WL 有标志来确保这一点。也没有计划尽快实施。

    来自 Oracle 支持:

    回复 1:

    不,对于 JSSE 实现,WLS 12.1.2 中没有记录在案的功能,即遵守服务器端 SSL 密码套件的首选顺序。

    回复 2:

    感谢您在我获得有关任何可能订购密码套件的确认时的耐心等待。 不幸的是,从 WLS 12.1.2 开始,没有记录在案的功能可以遵守服务器端 SSL 密码套件的首选顺序。

    这可能会在未来的 WLS 版本中发生变化。我目前正在尝试获取有关此功能是否计划在任何未来版本中添加的信息,如果您对此感兴趣的话。

    回复 3:

    我已收到我们的产品管理人员的确认,表示将来不打算包含诸如“SSLHonorCipherOrder”之类的选项。

    但也许这实际上不是您所需要的,因为以下情况适用于 WLS,我相信这就是您真正想要实现的目标: 在 SSL 握手期间,客户端发送一个密码套件列表,然后服务器从它自己的列表中选择客户端也支持的最强密码。

    如果您担心任何特定的弱密码套件,您应该排除那些,即只配置您想要使用的强密码套件。

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 1970-01-01
      • 2020-05-27
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 2012-12-12
      • 2016-12-11
      • 2015-04-17
      相关资源
      最近更新 更多