那些遇到过的问题

禁用特定的弱密码并使用JVM属性强制执行完全正向保密

Pra*_*ash 1 java security encryption

我想通过使用JVM属性禁用不需要的密码来实现完美前向保密(PFS

我想通过在java.security文件中使用Java的'jdk.tls.disabledAlgorithms'属性来实现这一点。

当前,我将属性设置如下jdk.tls.disabledAlgorithms = SSLv3,TLSv1,TLSv1.1,RC4,MD5,DESede,DH keySize <1024,RSA keySize <2048,并且当我使用服务器使用TestSSLServer进行测试时,得到以下信息输出

  Supported versions: TLSv1.2
Deflate compression: no
Supported cipher suites (ORDER IS NOT SIGNIFICANT):
  TLSv1.2
     RSA_WITH_AES_128_CBC_SHA
     DHE_RSA_WITH_AES_128_CBC_SHA
     RSA_WITH_AES_256_CBC_SHA
     DHE_RSA_WITH_AES_256_CBC_SHA
     RSA_WITH_AES_128_CBC_SHA256
     RSA_WITH_AES_256_CBC_SHA256
     DHE_RSA_WITH_AES_128_CBC_SHA256
     DHE_RSA_WITH_AES_256_CBC_SHA256
     TLS_RSA_WITH_AES_128_GCM_SHA256
     TLS_RSA_WITH_AES_256_GCM_SHA384
     TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
     TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
     TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
     TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
     TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
     TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
     TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
     TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
Run Code Online (Sandbox Code Playgroud)

我仍然找不到摆脱不提供PFS的网站的机制。例如“ TLS_RSA_WITH_AES_128_GCM_SHA256”。

我可以通过“ jdk.tls.disabledAlgorithms”完成此操作吗?如果不是,是否还有其他JVM级别的机制?

小智 5

I have been able to get forward secrecy to work in our Java server by changing this in the java.security file:

1) Uncomment (remove #) in front of

crypto.policy=unlimited

(You will need at least Java 1.8.0_151 for this)

2) set jdk.tls.disabledAlgorithms to

jdk.tls.disabledAlgorithms=SSLv3, TLSv1, TLSv1.1, RC4, MD5, DESede, DH keySize < 1024, RSA keySize < 2048, RSA_WITH_AES_128_CBC_SHA, DHE_RSA_WITH_AES_128_CBC_SHA, RSA_WITH_AES_256_CBC_SHA, DHE_RSA_WITH_AES_256_CBC_SHA, RSA_WITH_AES_128_CBC_SHA256, RSA_WITH_AES_256_CBC_SHA256, DHE_RSA_WITH_AES_128_CBC_SHA256, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_128_CBC_SHA256, TLS_RSA_WITH_AES_128_GCM_SHA256, TLS_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_256_CBC_SHA256, TLS_RSA_WITH_AES_256_GCM_SHA384

(to get this list, I tested my site on ssllabs.com and listed all cipher suites SSLLabs said to be weak)

While you're working on this, you might also want to consider setting the following two variables when starting the java process, but that actually isn't needed to get forward secrecy to work:

-Djdk.tls.ephemeralDHKeySize = 2048 -Djdk.tls.rejectClientInitiatedRenegotiation = true

归档时间:

查看次数:

1039 次

最近记录:

7 年,6 月 前
相关归档
当你知道java中的经度和纬度时,计算以米为单位的距离 74
为什么Maven警告我编码? 70
无法在独立视图上启动此动画师!揭示效果 63
Iterator与Java的流8 45
Android:如何获得当前的Wifi加密? 6
Magento - 使用自定义环境变量来处理敏感数据库信息 6
在Linux上,人们是否chroot Java Web应用程序或使用IPTables并以非root身份运行? 5
JWT令牌签名验证javascript 5
.net Cryptography - 有没有办法告诉某些东西被解密错了? 4
PHP Oauth signature_invalid 2
难疑归档
从数组创建ArrayList 3441
jQuery是否存在"存在"功能? 2669
什么是__init__.py? 2074
什么是智能指针,什么时候应该使用? 1730
StringBuilder和StringBuffer之间的区别 1510
如何在所有浏览器中控制网页缓存? 1474
如何在Python中追加文件? 1446
你怎么读斯坦丁? 1389
重写System.Object.GetHashCode的最佳算法是什么? 1389
获取Oracle中所有表的列表? 1073