如何将 TomEE 1.5.2 配置为仅提供如今被认为 trusted/safe 的 SSL 密码套件?
How to configure TomEE 1.5.2 to only offer SSL cipher suites considered trusted/safe nowadays?
当我尝试访问我的应用程序时,我在 FF 中收到此错误。
(Error code: ssl_error_weak_server_ephemeral_dh_key)
我一直在关注此 HOW TO 配置 SSL,但它不起作用。那么如何配置TomEE呢?
我所做的是生成密钥库:
keytool -genkeypair -v -dname "cn=NAME, ou= NEME, o= NAME, l=CITY, st=STATE, c=XX" -alias tomcat - keypass PASS -storepass PASS -keyalg RSA -validity 3650
并添加到 server.xml:
<Connector SSLEnabled="true" acceptCount="100" clientAuth="false"
disableUploadTimeout="true" enableLookups="false" maxThreads="25"
port="8444" keystoreFile="KEYSTORE_FILE" keystorePass="PASS"
protocol="org.apache.coyote.http11.Http11NioProtocol" scheme="https"
secure="true" sslProtocol="TLS" />
但是不行
您看到的错误是由于 Firefox 对 Logjam attack 的缓解。要解决此问题,您必须增加 DH 密钥长度,不幸的是,目前对于 Tomcat 或 TomEE 似乎不是一个选项。
您此时的选择是
a) 为您的服务器删除对 DH 密码套件的支持,只允许 non-DH 密码套件。 official Logjam mitigations page 中对此进行了描述(向下滚动到标题为 "Apache Tomcat" 的部分)。请密切注意有关使用 256 位 AES 密码所需操作的说明。
或
b) 禁用 Firefox 中的安全设置,以允许连接到像您这样具有弱 DH 密钥的网站。这是不可取的,因为您的用户可能不愿意仅仅为了访问您的网站而降低他们的安全性。这在相关的 Security Stack Exchange answer.
中有描述
当我尝试访问我的应用程序时,我在 FF 中收到此错误。
(Error code: ssl_error_weak_server_ephemeral_dh_key)
我一直在关注此 HOW TO 配置 SSL,但它不起作用。那么如何配置TomEE呢?
我所做的是生成密钥库:
keytool -genkeypair -v -dname "cn=NAME, ou= NEME, o= NAME, l=CITY, st=STATE, c=XX" -alias tomcat - keypass PASS -storepass PASS -keyalg RSA -validity 3650
并添加到 server.xml:
<Connector SSLEnabled="true" acceptCount="100" clientAuth="false"
disableUploadTimeout="true" enableLookups="false" maxThreads="25"
port="8444" keystoreFile="KEYSTORE_FILE" keystorePass="PASS"
protocol="org.apache.coyote.http11.Http11NioProtocol" scheme="https"
secure="true" sslProtocol="TLS" />
但是不行
您看到的错误是由于 Firefox 对 Logjam attack 的缓解。要解决此问题,您必须增加 DH 密钥长度,不幸的是,目前对于 Tomcat 或 TomEE 似乎不是一个选项。
您此时的选择是
a) 为您的服务器删除对 DH 密码套件的支持,只允许 non-DH 密码套件。 official Logjam mitigations page 中对此进行了描述(向下滚动到标题为 "Apache Tomcat" 的部分)。请密切注意有关使用 256 位 AES 密码所需操作的说明。
或
b) 禁用 Firefox 中的安全设置,以允许连接到像您这样具有弱 DH 密钥的网站。这是不可取的,因为您的用户可能不愿意仅仅为了访问您的网站而降低他们的安全性。这在相关的 Security Stack Exchange answer.
中有描述