哪些密码与 Java 6/Tomcat 7 和 IE8(XP)兼容?

哪些密码与 Java 6/Tomcat 7 和 IE8(XP)兼容?

我已禁用 SSL3 并将可用的密码限制为推荐的一组,但现在我无法使用 Windows XP 上的 IE8 访问我的服务器。如果我允许所有密码,那么我可以使用 IE8 连接,但当我指定一组受限制的密码时,我就不能连接。在我看来,我需要添加正确的密码,然后 IE8 才能正常工作。

当我启用所有密码并使用 IE8 访问网站时,我可以看到连接使用 TLS 1.0、128 位加密的 RC4 和 RSA:

Internet Explorer 8 https 连接

我尝试添加此密码:TLS_RSA_WITH_RC4_128_SHA。但我认为 Tomcat/Java 无法识别它。

我的连接器如下所示:

<Connector port="443" protocol="org.apache.coyote.http11.Http11Protocol"
           maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
           clientAuth="false" sslProtocol="TLS" sslEnabledProtocols="TLSv1.2,TLSv1.1,TLSv1" keystoreFile="C:\somewhere\my.keystore"
           ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,
           TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_RC4_128_SHA,
           TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,
           TLS_RSA_WITH_AES_256_CBC_SHA" />

我正在使用 Tomcat 7 和 Java 6

这可能是一个转移注意力的话题,但我一直在谈论这些密码套件因为我认为 Java 6 限制了我使用这些。另外,我一直在参考密码这个文件(第 30 页)表示 XP 上的 IE8 支持。不幸的是,我无法找到这两组密码之间的匹配。

更新:

我的 XP 上的 IE8 浏览器似乎仅支持这些密码套件:

在此处输入图片描述

我已经更新了 Tomcat 的密码以包含所有这些,但仍然无法连接:

ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_RC4_128_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_RC4_128_MD5,TLS_RSA_WITH_RC4_128_SHA,TLS_RSA_WITH_3DES_EDE_CBC_SHA,TLS_RSA_WITH_DES_CBC_SHA,TLS_RSA_EXPORT1024_WITH_RC4_56_SHA,TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA,TLS_RSA_EXPORT_WITH_RC4_40_MD5,TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5,TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA,TLS_DHE_DSS_WITH_DES_CBC_SHA,TLS_DHE_DSS_EXPORT1024_WITH_DES_CBC_SHA"

我不知道为什么我可以连接所有启用的密码,但如果我指定浏览器支持的所有密码,我仍然无法连接

答案1

SSL_RSA_WITH_RC4_128_SHA应该可以工作 - 原因只是术语上的差异,Java 6 中需要 TLS 的密码是唯一在名称上带有 TLS 的密码。尽管名称不同,但此特定密码规范在 TLS 和 SSL 下均可工作。

此配置应允许来自 XP 上的 IE8 的连接,同时仍拒绝 SSLv3 连接,因为启用的协议受 控制sslEnabledProtocols="TLSv1.2,TLSv1.1,TLSv1"

验证它不接受 SSLv3 连接openssl s_client -ssl3 -connect example.com:443

相关内容