什么可能在 SChannel 中安装 2 个新的 DH 密码?

什么可能在 SChannel 中安装 2 个新的 DH 密码?

我的一半用户的 IE 11.0.9600 浏览器突然停止连接到我的旧 WebLogic (Java) 服务器。经过一番挖掘,所有目前无法连接到这些旧 WL 服务器的用户都安装了 2 个 DH 密码:

TLS_DHE_RSA_WITH_AES_128_CBC_SHA  =         0x0033,
TLS_DHE_RSA_WITH_AES_256_CBC_SHA  =         0x0039,

这些密码可能来自哪里?据我所知,微软的任何文档中都没有提到它们。我看到 IBM SSL SDKs 和 Apple Open Source 中提到了它们,但我遇到过安装了我们所有 IBM 产品的人,他们没有这些密码,我在测试 PC 上安装了 iTunes,但它没有安装这些密码。如果微软、IBM 和 Apple 没有在我受影响的用户的电脑上安装这些密码,那么可能是什么安装了这些密码?

对我来说,当前的问题并不像来源那么重要。症状是这两个密码在密码顺序中的位置高于下一个常用密码(带 RSA 的 AES128),因此在这些机器的握手中被选中。协商失败是因为较旧的 WL 服务器发送的是 512 位 DH 密钥,而 Microsoft SChannel 现在需要 1024 位。新的 WL 服务器发送 1024 位,我们可以解决这个问题。我们还可以输入注册表项,使 SChannel 接受 0x0200(512 位)密钥。因此,我们可以在任一端轻松修复这个点问题,但谜团在于了解这些密码实际上来自哪里。

感谢您的帮助。我考虑过在 SuperUser 上提交此问题,但认为服务器端更有可能发现此问题。

相关内容