9
Dal Java 8 Update 31 SSL 3 del protocollo è disabilitato per default a causa di falle di sicurezza nel protocollo SSL (vedi POODLE attack).di SSL 3 in Java
Anche se non consigliato, come può essere abilitato?
A
risposta
11
Se non avete altra scelta che usare SSL 3, sul link qui sotto spiega la configurazione.
Il release notes for the update 31 forniscono informazioni per l'abilitazione del protocollo SSL 3 di nuovo in Java.
Come dichiarato:
Se SSLv3 è assolutamente necessario, il protocollo può essere riattivato da rimuovendo "SSLv3" dalla proprietà jdk.tls.disabledAlgorithms nel file java.security o dinamicamente impostazione di questa proprietà di sicurezza su "true" prima che JSSE sia inizializzato.
Tenete a mente che anche il protocollo TLS può essere sfruttato per consentire un accesso non sicuro con SSL 3, thats anche parte del difetto barboncino. Abilitare questo per Java o qualsiasi altra tecnologia dovrebbe essere l'ultima risorsa solo per ragioni critiche.
3
Se è necessario riattivare SSLv3.0 su entrambi 8u31, 7u75, 6u91 tutto quello che dovete fare è commentare la seguente riga nel JRE_HOME/lib/security/java.security:
jdk.tls.disabledAlgorithms=SSLv3
Codice:
import javax.net.ssl.*;
public class SocketProtocols {
public static void main(String[] args) throws Exception {
SSLSocketFactory factory = (SSLSocketFactory) SSLSocketFactory.getDefault();
SSLSocket soc = (SSLSocket) factory.createSocket();
// Returns the names of the protocol versions which are
// currently enabled for use on this connection.
String[] protocols = soc.getEnabledProtocols();
System.out.println("Enabled protocols:");
for (String s : protocols) {
System.out.println(s);
}
}
}
uscita:
Prima di abilitare SSL 3.0
$ /jdk1.8.0_31/bin/java SocketProtocols
Enabled protocols:
TLSv1
TLSv1.1
TLSv1.2
Dopo aver abilitato SSL 3,0
$ /jdk1.8.0_31/bin/java SocketProtocols
Enabled protocols:
SSLv3
TLSv1
TLSv1.1
TLSv1.2
crediti/origine: http://javablogx.blogspot.de/2015/02/enabling-ssl-v30-in-java-8.html
2
ho trovato entrambe queste modifiche erano tenuti al fine di connettersi a una scheda DRAC 5:
Rimuovere MD5:
jdk.certpath.disabledAlgorithms=MD2, RSA keySize < 1024
Rimuovere SSLv3, RC4, e MD5withRSA:
jdk.tls.disabledAlgorithms=DH keySize < 768
4
È possibile impostare la proprietà jdk.tls.disabledAlgorithms la sicurezza in fase di esecuzione in questo modo.
static {
Security.setProperty("jdk.tls.disabledAlgorithms", "");
}
Problemi correlati
- 1. Rails 3 SSL Deprecation
- 2. Scelta del certificato client SSL in Java
- 3. Ignorare la convalida SSL in Java
- 4. Connessione SSL dal client Java
- 5. Lancio codice SSL Java NoSuchAlgorithException
- 6. Scrittura di un Checker SSL utilizzando Java
- 7. Client JMX Java con SSL
- 8. limitando java ssl registrazione debug
- 9. convertire 3 byte in int in java
- 10. Java CryEngine 3
- 11. Certificati client Java su HTTPS/SSL
- 12. Comunicazione SSL tra applicazioni Java e C#
- 13. Calcolo dell'hash SHA 3 in Java
- 14. che eseguono 3 discussioni in sequenza java
- 15. convalida del certificato SSL ssl in subversion
- 16. Connessione di chiusura Chrome sull'handshake con Java SSL Server
- 17. è Java SSL rotto in OpenJDK su Ubuntu?
- 18. Collegamento ad un Websphere MQ in Java con SSL/Keystore
- 19. percorso Certificato irraggiungibile per SSL in Java/Clojure
- 20. Importazione certificato SSL in Eclipse
- 21. Come trovare la versione SSL/TLS utilizzata in Java
- 22. Utilizzo di SSL in Haskell
- 23. Lentezza SSL in EC2
- 24. L'implementazione SSL Java di Sun sta perdendo memoria?
- 25. Procedura consigliata per gestire il certificato SSL di terze parti in Java
- 26. Utilizzo di più certificati client SSL in Java con lo stesso host
- 27. Errore SSL in nodejs
- 28. Richiedi SSL in WebApi?
- 29. Impossibile connettersi da JAVA a Mongo SSL Replica Set
- 30. SSL in Tomcat 7
che necessità proprietà da impostare a true .. "impostando dinamicamente questa proprietà di sicurezza su 'true' prima JSSE viene inizializzato." – mohanaki
Dato che dice "dinamico", presumo significhi usare il codice, programmaticamente. – BonanzaOne