如何在 Red hat linux 服务器的 Oracle WebLogic Server 节点管理器端口 (5556) 上禁用 DES 和 3DES 密码。我尝试了许多解决方案,但没有按预期工作。这是我在 ssl.conf 文件中的 SSLCipherSuite 代码。
SSLCipherSuite SSL_RSA_WITH_RC4_128_MD5,SSL_RSA_WITH_RC4_128_SHA,SSL_RSA_WITH_3DES_EDE_CBC_SHA,SSL_RSA_WITH_DES_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,!aNULL,!eNULL,!LOW,!MD5,!EXP,!PSK,!SRP,!DSS,!RC4,!3DES
答案1
从密码列表中删除密码SSL_RSA_WITH_3DES_EDE_CBC_SHA
和SSL_RSA_WITH_DES_CBC_SHA
。您还应该从列表中删除SSL_RSA_WITH_RC4_128_MD5
和,因为它们都被认为是不安全的。如果您列出单个密码,我认为您不会从规范中获得任何好处。 SSL_RSA_WITH_RC4_128_SHA
!aNULL,!eNULL,!LOW,!MD5,!EXP,!PSK,!SRP,!DSS,!RC4,!3DES
如果你的服务器可以访问互联网,请考虑运行SSLLabs 分析在您的服务器上。如果没有,您可以使用来nmap –script ssl-enum-ciphers
检查您的配置。
您应该在 Java 配置中禁用密码。请参阅:https://security.stackexchange.com/questions/120347/how-to-disable-weak-cipher-suits-in-java-application-server-for-ssl了解详情。
您可能需要考虑使用 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256、TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 和 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA。但是,Java 在使用这几种密码时存在问题,导致每 256 个符合标准的主机连接中就有 1 个失败。此问题应在最新版本中得到修复。
您应该能够通过将密码添加到 Java 命令行来设置一组安全密码。(除非您使用的是最新版本的 Java,否则请仅使用最后一个密码。)
-Dhttps.cipherSuites=TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA
如果您想使用 256 位加密,请按顺序复制每个密码,并将其中一个副本中的 128 更改为 256。似乎没有理由使用 256 位,并且有报告称使用 256 位可能会引发一些定时攻击。