程序员经验分享-hwhale

用于缓解 Logjam/weakdh.org 的正确 JBoss EAP 6.0.1 密码套件配置是什么?

2024-01-02

由于堵塞和网站的关注https://weakdh.org/ https://weakdh.org/最近几天收到(Logjam:Diffie-Hellman 在实践中如何失败),我决定强化 JBoss EAP 6.0.1 系统上的 SSL 配置,如下所述:

13.2.5。 SSL 连接器参考:https://access.redhat.com/documentation/en-US/JBoss_Enterprise_Application_Platform/6/html/Administration_and_Configuration_Guide/SSL_Connector_Reference1.html https://access.redhat.com/documentation/en-US/JBoss_Enterprise_Application_Platform/6/html/Administration_and_Configuration_Guide/SSL_Connector_Reference1.html

交叉引用到这里:http://www.coderanch.com/t/613062/JBoss/configuring-SSL-Https-Jboss http://www.coderanch.com/t/613062/JBoss/configuring-SSL-Https-Jboss

我的standalone.xml 的相关部分包含在下面的混淆形式中:



     <connector name="https" protocol="HTTP/1.1" scheme="https" 
    socket-binding="https" secure="true">  
    <ssl  
     key-alias="**********"  
     password="**********"  
     certificate-key-file="/var/**********/**********.jks"  
     protocol="TLSv1.2"  
     cipher-suite="TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_DHE_RSA_WITH_AES_128_GCM_SHA256,TLS_DHE_DSS_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_128_SHA256,TLS_ECDHE_ECDSA_WITH_AES_128_SHA256,TLS_ECDHE_RSA_WITH_AES_128_SHA,TLS_ECDHE_ECDSA_WITH_AES_128_SHA,TLS_ECDHE_RSA_WITH_AE_256_SHA384,TLS_ECDHE_ECDSA_WITH_AES_256_SHA384,TLS_ECDHE_RSA_WITH_AES_256_SHA,TLS_ECDHE_ECDSA_WITH_AES_256_SHA,TLS_DHE_RSA_WITH_AES_128_SHA256,TLS_DHE_RSA_WITH_AES_128_SHA,TLS_DHE_DSS_WITH_AES_128_SHA256,TLS_DHE_RSA_WITH_AES_256_SHA256,TLS_DHE_DSS_WITH_AES_256_SHA,TLS_DHE_RSA_WITH_AES_256_SHA"  
     />  
    </connector>

协议限制有效,但据我所知,密码套件属性没有任何效果。我已将列表减少到只有两个套件,但 JBoss 在端口 8443 上返回的列表始终相同。 我已经针对 Qualys SSL Labs 测试了该系统,返回的密码套件列表包括许多未包含在我的列表中的弱密码。

 Cipher Suites (sorted by strength; the server has no preference)
 TLS_RSA_WITH_RC4_128_MD5 (0x4)   WEAK     128
 TLS_RSA_WITH_RC4_128_SHA (0x5)   WEAK     128
 TLS_RSA_WITH_AES_128_CBC_SHA (0x2f)     128
 TLS_DHE_RSA_WITH_AES_128_CBC_SHA (0x33)   DH 768 bits (p: 96, g: 96, Ys: 96)   FS   INSECURE     128
 TLS_ECDHE_RSA_WITH_RC4_128_SHA (0xc011)   WEAK     128
 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (0xc013)   ECDH 571 bits (eq. 15360 bits RSA)   FS     128
 TLS_RSA_WITH_3DES_EDE_CBC_SHA (0xa)     112
 TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA (0x16)   DH 768 bits (p: 96, g: 96, Ys: 96)   FS   INSECURE     112
 TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA (0xc012)   ECDH 571 bits (eq. 15360 bits RSA)   FS     112

Update: 我尝试通过 CLI 调整配置,希望它能做一些不同的事情:

 /subsystem=web/connector=https/ssl=configuration/:write-attribute(name=cipher-suite, value="TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA")

然后输出(也对应于新的standalone.xml):

 [standalone@localhost:9999 /] /subsystem=web/connector=https/ssl=configuration/:read-resource(recursive=true,proxies=false,include-runtime=true,include-defaults=true)
 {
      "outcome" => "success",
      "result" => {
           "ca-certificate-file" => undefined,
           "ca-certificate-password" => undefined,
           "ca-revocation-url" => undefined,
           "certificate-file" => undefined,
           "certificate-key-file" => "/var/xxxx/xxxx-xx/xxxx.jks",
           "cipher-suite" => "TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA",
           "key-alias" => "xxxx",
           "keystore-type" => undefined,
           "name" => undefined,
           "password" => "****",
           "protocol" => "TLSv1.2",
           "session-cache-size" => undefined,
           "session-timeout" => undefined,
           "truststore-type" => undefined,
           "verify-client" => "false",
           "verify-depth" => undefined
      },
      "response-headers" => {"process-state" => "reload-required"}
 }

但 nmap 使用此命令:

 nmap -p 8443 -A --script ssh-hostkey,ssh2-enum-algos,sshv1,ssl-cert,ssl-date,ssl-enum-ciphers,ssl-google-cert-catalog,ssl-heartbleed,ssl-known-key,sslv2 xxxx.de

坚持认为其他密码套件仍然有效:

 Starting Nmap 6.47 ( http://nmap.org ) at 2015-05-31 09:41 W. Europe Daylight Time

 Nmap scan report for xxxx.de (x.x.x.x)
 Host is up (0.031s latency).

 PORT     STATE SERVICE  VERSION
 8443/tcp open  ssl/http Apache Tomcat/Coyote JSP engine 1.1

 | ssl-cert: Subject: commonName=xxxx.de
 | Issuer: commonName=COMODO RSA Domain Validation Secure Server CA/organizationName=COMODO CA Limited/stateOrProvinceName=Greater Manchester/countryName=GB
 | Public Key type: rsa
 | Public Key bits: 2048
 | Not valid before: 2015-05-27T23:00:00+00:00
 | Not valid after:  2016-05-21T22:59:59+00:00
 | MD5:   7ac1 b1a9 4fd8 c438 0bce 0e82 bb2a 5e06
 |_SHA-1: 9b6e 185c 8598 aec6 7949 e7b1 3183 fc87 637f e86b
 | ssl-enum-ciphers: 
 |   TLSv1.0: No supported ciphers found
 |   TLSv1.2: 
 |     ciphers: 
 |       TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA - strong
 |       TLS_DHE_RSA_WITH_AES_128_CBC_SHA - strong
 |       TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 - strong
 |       TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA - strong
 |       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong
 |       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 - strong
 |       TLS_ECDHE_RSA_WITH_RC4_128_SHA - strong
 |       TLS_RSA_WITH_3DES_EDE_CBC_SHA - strong
 |       TLS_RSA_WITH_AES_128_CBC_SHA - stron
 |       TLS_RSA_WITH_AES_128_CBC_SHA256 - strong
 |       TLS_RSA_WITH_RC4_128_MD5 - strong
 |       TLS_RSA_WITH_RC4_128_SHA - strong
 |     compressors: 
 |       NULL
 |_  least strength: strong
 | ssl-google-cert-catalog: 
 |_  No DB entry

 Nmap done: 1 IP address (1 host up) scanned in 55.74 seconds
 - See more at: https://developer.jboss.org/message/931697#sthash.3ZJZG9PV.dpuf

显然,这里有关于这个主题的一些指导:https://access.redhat.com/solutions/661193 https://access.redhat.com/solutions/661193(在 EAP 6 中禁用弱 SSL 密码) 唉,我无法访问它,因为 RedHat 的政策似乎将应用程序服务器和互联网的安全性置于付费墙后面。叹。

任何人都可以确认这个问题,更好的是,提供解决方案的建议。除了将其置于反向代理(我的 B 计划)之外,有人有工作配置吗?谢谢。

Ref: https://developer.jboss.org/message/931697 https://developer.jboss.org/message/931697


由于 JBoss 邮件列表和 Stackoverflow 工作人员都没有任何反馈,我将其归因于该 JBoss 版本中的错误。我已通过升级到 Wildfly 8.2 并按照提供的说明进行配置来解决该问题,并且它按预期工作。

我猜这是旧版本服务器中的一个错误。对于后代,这是 Wildfly 的 SSL 侦听器的配置:

 <https-listener name="https" socket-binding="https" security-
  realm="SSLRealm"      
  enabled-protocols="TLSv1.2"     
  enabled-cipher-suites="TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, etc."/>

相应的安全领域可能如下所示:

<security-realm name="SSLRealm"> 
    <server-identities> 
      <ssl > 
        <keystore
     path="/var/mysite/ssl/mysite.jks"
     keystore-password="******"
     alias="mysite"
     /> 
      </ssl> 
    </server-identities> 
  </security-realm>
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)

Java

security

SSL

Jboss

用于缓解 Logjam/weakdh.org 的正确 JBoss EAP 6.0.1 密码套件配置是什么? 的相关文章

随机推荐

  • 我们可以增加Android手机麦克风的增益吗?

    我正在尝试增加 Android 手机麦克风的增益 以便它能够听到非常微小的声音 这可能吗 你能帮我解决这个问题吗 这个链接 http developer android com reference android media AudioMa

  • Flask 消息在重定向时闪烁失败

    我目前正在使用一个项目Flask http en wikipedia org wiki Flask 28programming 29 and 谷歌应用引擎 http en wikipedia org wiki Google App Engi

  • 无法读取 PNG 文件的 IHDR 块

    I have read PNG file specification and learnt that after the first 8 bytes of PNG signature we have the IHDR chunk This

  • 在 C++ 中创建只读(公共)类成员

    我有像 Actionscript 3 这样的语言背景 我们有一种特殊的方式将成员变量定义为实例和设置 获取受保护或私有成员的值的方法 让我举个例子吧 在一个类中 我们可以这样说 private var myString String pub

  • python子进程的自定义标准输入

    我正在运行这样的 SSH 进程 sshproc subprocess Popen command shell True exit os waitpid sshproc pid 0 1 这将起作用并打开一个交互式终端 基于以下文档subpro

  • 过滤以获取嵌套文档的长度与数字匹配的文档

    我有一个弹性搜索索引 其中有一个名为的嵌套对象平台类 it 子文档的数量可以有所不同 如下所示 action clean plateformes plateforme myplateforme1 status failure platefo

  • 什么是 paddingStart 和 paddingEnd?

    当我编写 xml 布局文件时 Eclipse 的自动完成框几次会建议 android paddingStart android paddingStop 我真的不明白这些属性应该做什么 eclipse javadoc 文档并不是很有帮助 Se

  • 无法为包装函数添加完美转发

    回答的同时这个问题 https stackoverflow com q 25392935 3821804我写了这个working代码 包装在模板参数中传递的函数 template

  • 如何使用mockito/powermock模拟Google的地理编码API请求?

    我想使用mockito powermock对该方法进行单元测试 Service public class GoogleApiService private static final Logger logger LoggerFactory g

  • 我可以在 jQuery 中缓存 $(window) 和 $(document) 吗?

    我最近阅读了一些有关 jQuery 性能的文章 并提出了一些奇怪的问题 我可以 应该缓存吗 window 如果我这么做了 会不会有影响resize scroll width scrollTop etc 我可以 应该缓存吗 document

  • 为什么我的 mt19937 随机生成器给出了荒谬的结果? C++

    在另一个项目上工作 我们需要使用mt19937用于随机生成数字 我们应该让它根据网格的部分随机选择 x 和 y 坐标 例如 我的函数通过minX maxX minY maxY到一个函数 我的 x 坐标工作正常 我在测试运行时不断随机出现错误

  • TabLayout 标头隐藏片段中 ListView 上的第一项

    我的 Android 技能有点生疏 我希望有人可以帮助我 我有一个TabLayout with a ViewPager滑动相同的Fragment具有不同的数据ListView 一切工作正常 但我有一个问题 选项卡标题文本隐藏了一部分Frag

  • Django 模型:添加日期索引,降序顺序

    我试图让 Django 模型在日期字段上按降序 DESC 顺序创建索引 但我找不到方法来做到这一点 基本上 我需要执行类似以下 SQL 的操作 在 Posgres 中 CREATE INDEX idx name ON table date

  • UITableViewCell设置文本

    我正在创建示例 hello world 应用程序 代码如下 我怎样才能删除 c cell setText Hello World 处发出警告 在下面的代码中 因为它已弃用 UITableViewCell cell tableView deq

  • ASP.NET CORE 文件上传问题

    我有一个适用于 chrome 的文件上传代码 但对于 IE 会抛出以下错误 IOException 该进程无法访问文件 路径 文件名 因为它正在被另一个进程使用 System IO Error WinIOError int errorCod

  • python排序的空间复杂度是多少?

    python排序需要多少空间复杂度 我在任何地方都找不到这方面的任何明确文档 空间复杂度定义为算法需要多少额外空间N元素 并且尽管根据docs https docs python org 3 library stdtypes html li

  • 无需规则即可创建目标 .moc

    我正在尝试将 ovpn3 的 ovpncli 示例转换为从 QObject 派生的类 我无法将源文件转换为单独的接口 h 和实现 cpp 文件 为了让 MOC 高兴 我把 include openvpn moc 在 openvpn cpp

  • 在 List/ObservableCollection 中维护集合

    我已经成功地将一个项目添加到 MVVM 中的列表中 现在我的问题是在视图模型中维护列表 每次我导航到页面或返回页面并返回到该列表视图时 列表都会重置 我怎样才能做到这一点 我目前正在使用 prism 来构建 MVVM 视图模型 public

  • 如何在 props 中传递 HTML 标签

    我希望能够传递带有 HTML 标签的文本 如下所示

  • 用于缓解 Logjam/weakdh.org 的正确 JBoss EAP 6.0.1 密码套件配置是什么?

    由于堵塞和网站的关注https weakdh org https weakdh org 最近几天收到 Logjam Diffie Hellman 在实践中如何失败 我决定强化 JBoss EAP 6 0 1 系统上的 SSL 配置 如下所述

热门标签