Я пытаюсь установить разрешенные ssl-шифры для встроенного сервера причала в своем приложении. Если я использую только параметр IncludeCipherSuites для SslContextFactory в файле xml-файла по какой-то причине, когда я запускаю sslscan, он перечисляет только шифры для TLSv1.2, а не TLSv1.1 или TLSv1.0. Мне нужно иметь возможность использовать все три версии TLS. В любом случае я могу установить IncludeCipherSuites для Jetty, чтобы я мог правильно установить список.Конфигурирование наборов шифрования SSL для Jetty
ответ
Jetty 9.3.8 отключает уязвимые шифры SLOTH, которые предотвращают правильное шифрование с использованием последних версий Chrome (если вы снова включите уязвимые шифры SLOTH, вы увидите a broken padlock icon in Chrome).
Вы хотите настроить запись ${jetty.base}/etc/tweak-ssl.xml
и соответствующей в вашем ${jetty.base}/start.ini
Примечания: Вы должны использовать раскол
${jetty.home}
и${jetty.base}
структуру каталогов и не изменяющей${jetty.home}
содержания
Документ здесь: https://www.eclipse.org/jetty/documentation/current/configuring-ssl.html#configuring-sslcontextfactory-cipherSuites
Какую конфигурацию использовать, это решать вам.
Знайте, что исключает победу над включает. Если шифровальный пакет исключен, его включение в список включений не будет включено.
Также следует помнить, что сам JVM также отключает различные старые протоколы и комплекты шифров, следуя тем же принципам и обновленным спецификациям, что Jetty относится к безопасности. В ближайшем будущем вам придется снова включить эти шифры и протоколы на уровне JVM.
Какая версия Jetty? и как вы его используете? (шлюз-распределение? встроенный? или один из клиентов причала?) –
Я использую причал-распределение 9.3.8 – tuxalot
У меня также такая же проблема. Интересно, как вы это разрешили? – mkd156