失败的PCI审计Diffie-Hellman Tomcat 7

Question

我们的定期PCI审计失败了，因为我们的Tomcat 7允许Diffie-Hellman密钥交换.我对Tomcat不感兴趣，我做了一些研究，但没有结果。

审计说我有三个选择来纠正这个问题。

1. 升级到OpenSSL 1.0.0。百胜没有。
2. 禁用FIPS模式。有人说这不是最好的选择。
3. 配置加密套件不包括任何Diffie-Hellman密钥交换。最好的猜测，这就是我需要的。

我们正在运行的内容: Tomcat 7.0.23 OpenSSL 0.9.8e CentOS 5.5

任何帮助都将不胜感激。

审计报告是这样说的：

“描述: SSL服务器接受弱Diffie-Hellman键概要:远程SSL/TLS服务器接受弱Diffie-Hellman公共值。影响:远程SSL/TLS服务器接受弱Diffie-Hellman (DH)公钥值。此漏洞可能会帮助攻击者对远程服务器进行中间人(MiTM)攻击，因为它可以强制计算完全可预测的Diffie-Hellman秘密。就其本身而言，此缺陷不足以设置MiTM攻击(因此是“无”的风险因素)，因为它需要一些SSL实现缺陷才能影响连接到远程主机的客户端之一。

接收到的数据:可以通过发送值为1的DH密钥完成完整的SSL握手。

解析:在FIPS模式编译时，OpenSSL会受到影响。要解决此问题，可以升级到OpenSSL 1.0.0，禁用FIPS模式，或者配置服务器使用的加密套件，使其不包括任何Diffie-Hellman密钥交换。PolarSSL受影响。若要解决此问题，请升级到0.99-pre3 / 0.14.2或更高版本。如果使用任何其他SSL实现，请配置服务器使用的密匙套件，使其不包括任何Diffie-Hellman密钥交换或与供应商联系以获得修补程序。“

Answer 1

使用3。

你可以谷歌‘禁用TLS Tomcat 7’找到如何做到这一点。

Answer 2

对我来说，它在向conf/server.xml中的Tomcat配置中添加允许的密码列表以禁用弱Diffie-Hellman密码之后起了作用：

    <Connector
        protocol="HTTP/1.1"
        port="8000"
        ...
        scheme="https"
        secure="true"
        clientAuth="false"
        sslProtocol="TLS" 
        SSLEnabled="true"
        ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA"
        redirectPort="8443"