Конфигурирование наборов шифрования SSL для Jetty

Question

Я пытаюсь установить разрешенные ssl-шифры для встроенного сервера причала в своем приложении. Если я использую только параметр IncludeCipherSuites для SslContextFactory в файле xml-файла по какой-то причине, когда я запускаю sslscan, он перечисляет только шифры для TLSv1.2, а не TLSv1.1 или TLSv1.0. Мне нужно иметь возможность использовать все три версии TLS. В любом случае я могу установить IncludeCipherSuites для Jetty, чтобы я мог правильно установить список.

Answer 1

Jetty 9.3.8 отключает уязвимые шифры SLOTH, которые предотвращают правильное шифрование с использованием последних версий Chrome (если вы снова включите уязвимые шифры SLOTH, вы увидите a broken padlock icon in Chrome).

Вы хотите настроить запись ${jetty.base}/etc/tweak-ssl.xml и соответствующей в вашем ${jetty.base}/start.ini

Примечания: Вы должны использовать раскол ${jetty.home} и ${jetty.base} структуру каталогов и не изменяющей ${jetty.home} содержания

Документ здесь: https://www.eclipse.org/jetty/documentation/current/configuring-ssl.html#configuring-sslcontextfactory-cipherSuites

Какую конфигурацию использовать, это решать вам.

Знайте, что исключает победу над включает. Если шифровальный пакет исключен, его включение в список включений не будет включено.

Также следует помнить, что сам JVM также отключает различные старые протоколы и комплекты шифров, следуя тем же принципам и обновленным спецификациям, что Jetty относится к безопасности. В ближайшем будущем вам придется снова включить эти шифры и протоколы на уровне JVM.