我们当前(默认)的 Sophos 防火墙(Apache 反向代理)设置不允许 Java 6 客户端通过 HTTPS 进行连接。ssltest 结果显示原因是“客户端不支持大于 1024 位的 DH 参数”。
ssltest 报告对其他网站给出“A”评级(例如https://bsi.de) 证明有方法配置 HTTPS 防火墙,以便 Java 6 客户端能够连接。
我们联系了 Sophos 支持部门。他们的答复是,我们不应该降低安全设置。相反,我们的客户应该考虑升级 Java。
这两个答案听起来确实很有道理。然而,我们对客户的 IT 配置没有任何影响。
问题:是否可以配置 Apache 反向代理,以便可以进行传入的 Java 6 HTTPS 连接,而不会降低安全性?
如果我将我们的服务器密码套件与支持 Java 6 HTTPS 连接的服务器进行比较,我可以看到我们启用了更多密码,因此我猜测 Java 6 连接问题的原因在于其中一个额外的密码。但是我猜测删除一些 DH 密码可能会导致与其他客户端的连接问题。
我们的客户要求我们删除所有 DHE 密码。这些密码包括:
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
TLS_DHE_RSA_WITH_AES_256_CBC_SHA
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA
TLS_DHE_RSA_WITH_AES_128_CBC_SHA
我们安装了几个 TLS_ECDHE_ 密码。
TLS_DHE_xxx 密码套件在实际中并不常用 - Alexa.com 上排名前十的网站中只有一个网站 (Wikipedia.org) 实际使用了它们。其他网站都没有使用它们,而是依赖于 TLS_ECDHE_xxx 或 TLS_RSA_xxx 密码。由此,我只能推断,没有多少浏览器会因为不使用这些密码而受到影响,否则这些大型网站就会切断人们的访问。
因此,如果我们知道没有客户端需要这些密码,那么删除这些密码是安全的,然后看看会发生什么。