我正在尝试指定在我的 Tomcat 配置中应该使用哪些密码套件,如下所示:
<Connector
port="9443"
protocol="org.apache.coyote.http11.Http11Protocol"
enableLookups="false"
SSLEnabled="true"
scheme="https"
secure="true"
clientAuth="want"
keystoreFile="{omitted}"
SSLImplementation="edu.internet2.middleware.security.tomcat6.DelegateToApplicationJSSEImplementation"
sslEnabledProtocols = "TLSv1,TLSv1.1,TLSv1.2"
ciphers="TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256,
TLS_DHE_DSS_WITH_AES_128_GCM_SHA256,
TLS_ECDHE_RSA_WITH_AES_128_SHA256,
TLS_ECDHE_ECDSA_WITH_AES_128_SHA256,
TLS_ECDHE_RSA_WITH_AES_128_SHA,
TLS_ECDHE_ECDSA_WITH_AES_128_SHA,
TLS_ECDHE_RSA_WITH_AES_256_SHA384,
TLS_ECDHE_ECDSA_WITH_AES_256_SHA384,
TLS_ECDHE_RSA_WITH_AES_256_SHA,
TLS_ECDHE_ECDSA_WITH_AES_256_SHA,
TLS_DHE_RSA_WITH_AES_128_SHA256,
TLS_DHE_RSA_WITH_AES_128_SHA,
TLS_DHE_DSS_WITH_AES_128_SHA256,
TLS_DHE_RSA_WITH_AES_256_SHA256,
TLS_DHE_DSS_WITH_AES_256_SHA,
TLS_DHE_RSA_WITH_AES_256_SHA"
/>
然而,当我使用 Qualy SSL Labs 检查服务器时,我发现我的服务器仅支持 F 级不安全的密码,例如
TLS_DHE_RSA_WITH_AES_128_CBC_SHA (0x33)
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 (0x67)
TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA (0x16)
ETC。
这些套件未出现在连接器的ciphers属性中,我也不知道它们来自哪里。有什么提示可以解释为什么连接器元素中的密码列表似乎被忽略了?
Tomcat版本是6.0.24。
更新:更有趣的是,Qualys 指出,可能的密码套件是
TLS_RSA_WITH_RC4_128_MD5
虽然这没有出现在文档列出可用的套件。