为什么 TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA 和 TLS_RSA_WITH_3DES_EDE_CBC_SHA 被认为是 "weak" 但被 nmap 和 Liberty 报告为 "strong"?
Why are TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA and TLS_RSA_WITH_3DES_EDE_CBC_SHA considered to be "weak" but reported as "strong" by nmap and Liberty?
我必须摆脱密码 TLS_RSA_WITH_3DES_EDE_CBC_SHA 和 TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA 因为它们通常被认为是弱的并且被一些安全扫描工具等报告为弱。
为此,我已将 WebSphere Liberty 配置为使用目前有效的 TLSv1.2。但不幸的是,尽管 WebSphere Liberty 默认使用 "HIGH" 安全级别,甚至 nmap 对这些密码显示 "strong",但 TLSv1.2 仍然支持这些密码。
这就是我的困惑开始的地方。为什么这些密码被 nmap 和 WebSphere Liberty 认为是强密码,但被不同的安全扫描工具报告为 "weak"?在不手动指定允许密码列表的情况下,在 WebSphere Liberty 中摆脱这些问题的正确方法是什么?最简单的方法是什么?
您可以尝试使用 jdk.tls.disabledAlgorithms 禁止 3DES
IBM JDK 设施:
如果 Nmap 将 任何东西 报告为 "strong" 那么您使用的是过时的版本。 The 6.49BETA release series in June of 2015 introduced a much-improved version of the ssl-enum-ciphers script 而是对每个密码套件连同证书强度进行评分,以给出 "A" - "F" 分数,类似于 SSL Labs。假定 3DES 密码套件的有效密钥长度为 112 位,因此最大得分为 "C".
获取最新版本的 Nmap
我必须摆脱密码 TLS_RSA_WITH_3DES_EDE_CBC_SHA 和 TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA 因为它们通常被认为是弱的并且被一些安全扫描工具等报告为弱。
为此,我已将 WebSphere Liberty 配置为使用目前有效的 TLSv1.2。但不幸的是,尽管 WebSphere Liberty 默认使用 "HIGH" 安全级别,甚至 nmap 对这些密码显示 "strong",但 TLSv1.2 仍然支持这些密码。
这就是我的困惑开始的地方。为什么这些密码被 nmap 和 WebSphere Liberty 认为是强密码,但被不同的安全扫描工具报告为 "weak"?在不手动指定允许密码列表的情况下,在 WebSphere Liberty 中摆脱这些问题的正确方法是什么?最简单的方法是什么?
您可以尝试使用 jdk.tls.disabledAlgorithms 禁止 3DES IBM JDK 设施:
如果 Nmap 将 任何东西 报告为 "strong" 那么您使用的是过时的版本。 The 6.49BETA release series in June of 2015 introduced a much-improved version of the ssl-enum-ciphers script 而是对每个密码套件连同证书强度进行评分,以给出 "A" - "F" 分数,类似于 SSL Labs。假定 3DES 密码套件的有效密钥长度为 112 位,因此最大得分为 "C".
获取最新版本的 Nmap