Включение RC4 шифра набор для Spring загрузки приложений

Я пытаюсь включить RC4 шифров в Спринг загрузки приложения (приложение поддерживает только шифры JSEE http://docs.oracle.com/javase/7/docs/technotes/guides/security/SunProviders.html)Включение RC4 шифра набор для Spring загрузки приложений

выше ссылка имеет так много RC4 шифров, что все должны быть включены блоки шифрования, чтобы избежать атаки BEAST? Есть ли способ поддерживать шифрование RC4 только для TLS v1.0 в приложении Spring Boot?

источник

2015-06-23 RanPaul

Ваша информация немного устарела. Да, RC4 можно использовать для смягчения атаки BEAST. Положительным фактором RC4 в отношении BEAST является то, что это шифр потока, а не блочный шифр.

Однако RC4 как алгоритм шифрования имеет несколько недостатков, которые могут быть использованы для атаки самого шифрования.

Поэтому общая рекомендация по безопасности заключается в том, чтобы вообще отключить шифры RC4.

Лучше обновите свои системы и используйте только соединения TLS 1.2. Это также предотвращает появление BEAST.

источник

2015-06-25 15:21:19 Robert

Я знаю, что его легко настроить в Apache, но как отключить версии до TLS 1.2 в приложении Spring Boot? – RanPaul

Разработчики Spring Boot, похоже, не осознают необходимость настройки разрешенной версии SSL/TLS, они полагаются на настройки Tomcat по умолчанию: https://github.com/spring-projects/spring-boot/issues/2109 – Robert

Включение RC4 шифра набор для Spring загрузки приложений

ответ

Смежные вопросы