溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊(cè)×
其他方式登錄
點(diǎn)擊 登錄注冊(cè) 即表示同意《億速云用戶(hù)服務(wù)條款》

Tomcat6+JDK6如何加固,解決Logjam attack,

發(fā)布時(shí)間:2020-07-31 10:53:04 來(lái)源:網(wǎng)絡(luò) 閱讀:4653 作者:rickqin 欄目:安全技術(shù)

最近更新了最新版瀏覽器的同學(xué)是不是偶爾會(huì)遇到SSL加密協(xié)議不靈,訪問(wèn)不了的情況?

最典型的例子是使用FF39或38.0.2訪問(wèn)某些網(wǎng)站時(shí)報(bào)錯(cuò):Error code: ssl_error_weak_server_ephemeral_dh_key

Tomcat6+JDK6如何加固,解決Logjam attack,

這是由于你的客戶(hù)端(FF39)廢棄了DHE、RC4密碼,而服務(wù)器端默認(rèn)使用DHE、RC4加密的密鑰嘗試與客戶(hù)端進(jìn)行通信,結(jié)果客戶(hù)端就報(bào)錯(cuò)了。


解決辦法:

1、首先你要確保你的密鑰(證書(shū))加密長(zhǎng)度>1023bit,因?yàn)?lt;1023bit FF會(huì)認(rèn)為不安全。自簽名證書(shū)的,自己去看看怎么把key size設(shè)置為1024或大于1024。如果是CA機(jī)構(gòu)簽名的,就需要去CA機(jī)構(gòu)申請(qǐng)重新簽名更換證書(shū)。

2、服務(wù)器SSL設(shè)置中,要disable DHE cipher suites,要disable TLSv2 TLSv3,啟用TLSv1,TLSv1.1,TLSv1.2。

3、服務(wù)器SSL設(shè)置中還要明確指定可以使用的cipher suites。如果是tomcat6+JDK6,那么以下cipher suites可用:

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA

TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA

TLS_ECDH_RSA_WITH_AES_256_CBC_SHA

TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA

TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA

TLS_ECDH_RSA_WITH_AES_128_CBC_SHA

TLS_ECDH_ECDSA_WITH_RC4_128_SHA

TLS_ECDH_RSA_WITH_RC4_128_SHA

TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA

TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA

TLS_ECDH_ECDSA_WITH_3DES_EDE_CBC_SHA

TLS_ECDH_RSA_WITH_3DES_EDE_CBC_SHA

TLS_RSA_WITH_AES_256_CBC_SHA

TLS_RSA_WITH_AES_128_CBC_SHA


配置例子:

打開(kāi)tomcat的server.xml,參考以下配置:

<Connector protocol="org.apache.coyote.http11.Http11Protocol" URIEncoding="UTF-8" port="9090" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="false" protocols="TLSv1,TLSv1.1,TLSv1.2" keystoreFile="k.keystore" keystorePass="a123456" truststoreFile="k.keystore" truststorePass="a123456" ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA,TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA,TLS_ECDH_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA,TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA,TLS_ECDH_RSA_WITH_AES_128_CBC_SHA,TLS_ECDH_ECDSA_WITH_RC4_128_SHA,TLS_ECDH_RSA_WITH_RC4_128_SHA,TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA,TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA,TLS_ECDH_ECDSA_WITH_3DES_EDE_CBC_SHA,TLS_ECDH_RSA_WITH_3DES_EDE_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA"/>


參考資料:

https://developer.mozilla.org/en-US/Firefox/Releases/39/Site_Compatibility

https://weakdh.org/

https://weakdh.org/sysadmin.html

https://weakdh.org/logjam.html

https://en.wikipedia.org/wiki/Diffie%E2%80%93Hellman_key_exchange


向AI問(wèn)一下細(xì)節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如果涉及侵權(quán)請(qǐng)聯(lián)系站長(zhǎng)郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI