Le versioni after 7.0.2 di Jetty ora includono una funzione di whitelist per le suite di crittografia. Basta aggiungere una sezione al vostro etc/pontile-ssl.xml simile al seguente:
<Call name="addConnector">
<Arg>
<New class="org.eclipse.jetty.server.ssl.SslSelectChannelConnector">
<Arg><Ref id="sslContextFactory" /></Arg>
<Set name="Port">8443</Set>
<Set name="maxIdleTime">30000</Set>
<Set name="Acceptors">2</Set>
<Set name="AcceptQueueSize">100</Set>
<!--you can enable cipher suites in the following section. -->
<Set name="IncludeCipherSuites">
<Array type="java.lang.String">
<Item>TLS_DHE_RSA_WITH_AES_128_CBC_SHA</Item>
<Item>SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA</Item>
<Item>TLS_RSA_WITH_AES_128_CBC_SHA</Item>
<Item>SSL_RSA_WITH_3DES_EDE_CBC_SHA</Item>
<Item>TLS_DHE_DSS_WITH_AES_128_CBC_SHA</Item>
<Item>SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA</Item>
</Array>
</Set>
</New>
</Arg>
</Call>
In questo modo verrà automaticamente lista nera eventuali pacchetti di crittografia che non sono elencati in questa sezione.
La curva ellittica di supporto in Java è estremamente difficile. RSA, Diffie-Hellman e Triple-DES non sono "deboli", semplicemente non sono "i migliori". – erickson