Kon*_*iak 8 java security ssl server
所以这是我的Java ssl Server的代码.ctx是SSLContext使用服务器密钥库初始化的.
public SSLEngine createSSLEngine() {
SSLEngine sslEngine = ctx.createSSLEngine();
String[] ciphersuites = new String[]{
"TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384",
"TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384",
"TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384",
"TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384",
"TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA",
"TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA",
"TLS_EMPTY_RENEGOTIATION_INFO_SCSV"
};
sslEngine.setEnabledCipherSuites(ciphersuites);
sslEngine.setUseClientMode(false);
return sslEngine;
}
我cipherscan(测试它https://github.com/jvehent/cipherscan),选择密码看起来很好,但服务器支持所有可能的椭圆曲线(sect163k1,sect163r1,sect163r2,sect193r1,sect193r2,sect233k1,sect233r1,sect239k1,sect283k1 ,sect283r1,sect409k1,sect409r1,sect571k1,sect571r1,secp160k1,secp160r1,secp160r2,secp192k1,prime192v1,secp224k1,secp224r1,secp256k1,prime256v1,secp384r1,secp521r1).
有没有办法禁用所有曲线,除了像secp384r1这样的强曲线?
小智 7
从Java8 u121开始,可以配置要使用的椭圆曲线.
在程序的VM启动时使用参数,即:
-Djdk.tls.namedGroups="secp521r1, secp256r1, secp256k1"
或者,如果您希望JDK/JRE宽策略更改java.security文件并添加该属性.即:
-jdk.tls.namedGroups="secp521r1, secp256r1, secp256k1"
作为参考,请参阅:http://www.oracle.com/technetwork/java/javase/8u121-relnotes-3315208.html段落"提高JDK中EC的默认强度"
小智 0
我也有同样的问题。以下是我的发现,只能部分解决问题:
com.sun.security.ssl.HelloExtensionJava 在(列出所有扩展)和com.sun.security.ssl.SupportedEllipticCurves(提供允许的曲线列表的椭圆曲线扩展)中实现这些扩展暂时忽略 OpenJDK(GPLv2+Classpath 例外)和 Oracle JDK(此处:Java 环境二进制许可证)的许可证,以下是从技术上解决问题的方法:
com.sun.security.ssl.SupportedEllipticCurvescom.sun.ec.CurveDB.java)Xbootclasspath:prepend加载带有修改后的曲线列表的类并忽略 JVM 曲线。还有许可证问题......
例如,jetty-alpn-agent 正在这样做。并且它也被置于 GPLv2+例外之下。我不是律师,但我认为你可以创建一个开源项目,做你的事情,将它也放在 GPLv2+扩展名下,然后使用它。
| 归档时间: |
|
| 查看次数: |
2009 次 |
| 最近记录: |