Buona lista di suite di crittografia deboli per Java

Question

Sto eseguendo un server che richiede una lista nera di suite di crittografia deboli.

Quindi quali dei seguenti sono deboli? http://java.sun.com/javase/6/docs/technotes/guides/security/SunProviders.html#SunJSSEProvider

Answer 1

Perché è necessario escludere i cattivi? Perché non includere solo quelli buoni?

Per cominciare, mi piacerebbe seguire le linee guida NSA Suite B, specificamente RFC 5430

Answer 2

Abbastanza sicuro Jetty è lista nera.

• http://docs.codehaus.org/display/JETTY/SSL+Cipher+Suites
• http://jira.codehaus.org/browse/JETTY-1164 < - che sto utilizzando la versione leggermente più vecchio lol

In ogni modo il mio problema è risolto. Grazie

Answer 3

Le versioni after 7.0.2 di Jetty ora includono una funzione di whitelist per le suite di crittografia. Basta aggiungere una sezione al vostro etc/pontile-ssl.xml simile al seguente:

<Call name="addConnector"> 
    <Arg> 
     <New class="org.eclipse.jetty.server.ssl.SslSelectChannelConnector"> 
     <Arg><Ref id="sslContextFactory" /></Arg> 
     <Set name="Port">8443</Set> 
     <Set name="maxIdleTime">30000</Set> 
     <Set name="Acceptors">2</Set> 
     <Set name="AcceptQueueSize">100</Set> 

     <!--you can enable cipher suites in the following section. --> 
     <Set name="IncludeCipherSuites"> 
      <Array type="java.lang.String"> 
      <Item>TLS_DHE_RSA_WITH_AES_128_CBC_SHA</Item> 
      <Item>SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA</Item> 
      <Item>TLS_RSA_WITH_AES_128_CBC_SHA</Item> 
      <Item>SSL_RSA_WITH_3DES_EDE_CBC_SHA</Item> 

      <Item>TLS_DHE_DSS_WITH_AES_128_CBC_SHA</Item> 
      <Item>SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA</Item> 
      </Array> 
     </Set> 
     </New> 
    </Arg> 
    </Call> 

In questo modo verrà automaticamente lista nera eventuali pacchetti di crittografia che non sono elencati in questa sezione.