Jetty -有什么方法可以配置SSL密码的顺序吗？

Question

我正在尝试将Jetty配置为首选使用完全前向保密的密码，而不是那些不支持它的密码，但同时允许只支持它们的客户端使用那些较旧的密码。但是，我不知道如何配置Jetty的顺序。这个是可能的吗？

我已经将我的服务器的SSLContextFactory的setUseCipherSuitesOrder方法设置为true，但是没有看到任何与在server.xml中设置密码列表的选项等价的选项，这在Tomcat中似乎是可能的。我使用的是embedded Jetty 9.4.x，目前运行的是Java 8。

Answer 1

TLS和HTTP/2 make有严格的/强制的密码套件顺序要求。

由于协议需要特定的行为，因此您不能再控制它，因此Jetty不提供它作为选项。

虽然JRE确实有一个SSLParameters.setUseCipherSuitesOrder(true)，但它不可能在所有现代HTTP连接场景中使用它。

您可以选择在SslContextFactory.setUseCipherSuitesOrder(boolean)的Jetty中使用此Java选项。请注意，较新的TLS版本(1.2及更高版本)和HTTP/2将覆盖此设置，以满足其自身的需要和要求。