Java的弱密码套件列表
我正在运行一个需要弱密码套件黑名单的服务器。
那以下哪一项很弱? http://java.sun.com/javase/6/docs/technotes/guides/security/SunProviders.html#SunJSSEProvider
为什么你需要排除坏的? 为什么不包括好的?
对于初学者,我会遵循NSA Suite B指南,特别是RFC 5430
Jetty 7.0.2之后的版本现在包括密码套件的白名单function。 只需在etc / jetty-ssl.xml中添加一个部分,如下所示:
8443 30000 2 100 - TLS_DHE_RSA_WITH_AES_128_CBC_SHA
- SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA
- TLS_RSA_WITH_AES_128_CBC_SHA
- SSL_RSA_WITH_3DES_EDE_CBC_SHA
- TLS_DHE_DSS_WITH_AES_128_CBC_SHA
- SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA
这样做会自动将任何未在本节中列出的密码套件列入黑名单。
相当Jetty是黑名单。
- http://docs.codehaus.org/display/JETTY/SSL+Cipher+Suites
- http://jira.codehaus.org/browse/JETTY-1164 < - 我使用稍旧的版本lol
无论如何我的问题已经解决了。 谢谢