检测 1.2 之前的 TLS 版本是否已在 RHEL 7 上禁用

Question 1

由于 ActiveMQ 是客户端连接的服务，因此 ActiveMQ 明确规定可以为 SSL/TLS 连接启用哪些协议。更改 Transport.tls 文件并添加以下内容。

<transportConnector name="openwire+ssl" uri="ssl://0.0.0.0:61617?transport.enabledProtocols=TLSv1,TLSv1.1,TLSv1.2&amp;maximumConnections=1000&amp;wireFormat.maxFrameSize=104857600"/>

这也将启用所有被削弱的协议。请记住，TLS 1.0 和 TLS 1.1 不被认为是安全的，不应谨慎使用

Answer

由于 ActiveMQ 是客户端连接的服务，因此 ActiveMQ 明确规定可以为 SSL/TLS 连接启用哪些协议。更改 Transport.tls 文件并添加以下内容。

<transportConnector name="openwire+ssl" uri="ssl://0.0.0.0:61617?transport.enabledProtocols=TLSv1,TLSv1.1,TLSv1.2&amp;maximumConnections=1000&amp;wireFormat.maxFrameSize=104857600"/>

这也将启用所有被削弱的协议。请记住，TLS 1.0 和 TLS 1.1 不被认为是安全的，不应谨慎使用

Question 2

看来最近的 openjdk 更新（在我们的例子中从 1.8.282 到 1.8.292）默认禁用了 TLSv1.0 和 TLSv1.1。

该更改记录在下一张票。

票证摘录说：

禁用 TLS 1.0 和 1.1

解决方案

将“TLSv1”和“TLSv1.1”添加到 java.security 配置文件中的 jdk.tls.disabledAlgorithms 安全属性中。

您还可以看到RedHat 的发行说明

在章节3.1.4.禁用 TLS 1.0 和 1.1 版本

TLS 协议的 TLS 1.0 和 1.1 版本不再被认为是安全的，并被更安全和现代的 TLS 1.2 和 1.3 版本取代。 TLS 1.0 和 1.1 版本现在默认处于禁用状态。如果遇到问题，您可以通过从 java.security 配置文件中的 jdk.tls.disabledAlgorithms 安全属性中删除 TLSv1 或 TLSv1.1 来重新启用版本（风险自负）。

这解释了为什么我们的 ActiveMQ 突然停止为仍在使用已弃用协议的客户端工作。最佳实践是迁移这些客户端，而不是重新启用最弱的协议。

“有趣”的是，服务（ActiveMQ）仍然使用最新的 JDK，直到您重新启动 ActiveMQ，因此修补日期可能与客户端开始出现问题的日期不同。

Answer