我试图在我的应用程序中为嵌入式jetty服务器设置允许的ssl密码套件。如果出于某种原因,我只在xml文件设置中为SslContextFactory使用IncludeCipherSuites设置,当我运行sslscan时,它只列出TLSv1.2的密码,而不是TLSv1.1或TLSv1.0。我需要能够让jetty使用所有三个TLS版本。是否有任何我可以设置的IncludeCipherSuites码头,使我可以设置正确的名单。
3htmauhk1#
Jetty 9.3.8禁用了SLOTH易受攻击的密码,这些密码会阻止最新版本的Chrome进行正确加密(如果您重新启用SLOTH易受攻击的密码,您将看到a broken padlock icon in Chrome)。您需要在${jetty.base}/start.ini中设置一个${jetty.base}/etc/tweak-ssl.xml和适当的条目注意:您应该使用拆分的${jetty.home}和${jetty.base}目录结构,并且不要修改${jetty.home}的内容此处记录:https://eclipse.dev/jetty/documentation/jetty-9/index.html#configuring-sslcontextfactory-cipherSuites至于使用什么配置,这取决于您的决定。知道排除战胜包括。如果密码套件被排除,则在包含列表中添加它将不会启用它。还要注意的是,JVM本身也在禁用各种旧的协议和密码套件,遵循与Jetty相同的安全性指导方针和更新规范。在不久的将来,您还必须在JVM级别重新启用这些密码和协议。
${jetty.base}/start.ini
${jetty.base}/etc/tweak-ssl.xml
${jetty.home}
${jetty.base}
1条答案
按热度按时间3htmauhk1#
Jetty 9.3.8禁用了SLOTH易受攻击的密码,这些密码会阻止最新版本的Chrome进行正确加密(如果您重新启用SLOTH易受攻击的密码,您将看到a broken padlock icon in Chrome)。
您需要在
${jetty.base}/start.ini中设置一个${jetty.base}/etc/tweak-ssl.xml和适当的条目注意:您应该使用拆分的
${jetty.home}和${jetty.base}目录结构,并且不要修改${jetty.home}的内容此处记录:https://eclipse.dev/jetty/documentation/jetty-9/index.html#configuring-sslcontextfactory-cipherSuites
至于使用什么配置,这取决于您的决定。
知道排除战胜包括。如果密码套件被排除,则在包含列表中添加它将不会启用它。
还要注意的是,JVM本身也在禁用各种旧的协议和密码套件,遵循与Jetty相同的安全性指导方针和更新规范。在不久的将来,您还必须在JVM级别重新启用这些密码和协议。