JBoss - ssl_error_weak_server_ephemeral_dh_key的配置

Question

我尝试更改这 URL中列出的密码套件。但在mozilla中，我仍然得到了安全连接失败的错误。

支持的密码套件是什么？我们可以在JBoss中更改DH参数大小和RSA密钥大小吗？

Answer 1

我在这个问题上做了一点google，我会在这里总结一下。

DH参数大小可以使用系统属性来设置(如果不能使用System.setProperty()，可以将其作为JVM选项添加)。2048位是推荐的大小，1024是安全的最小尺寸。此参数可由-

-Djdk.tls.ephemeralDHKeySize=2048

此外，为了防止客户端发起重新协商(安全或非安全)，我们可以使用以下JVM选项-

jdk.tls.rejectClientInitiatedRenegotiation=true

这将适用于运行在Hotspot VM上的任何Java容器。

注意: DH键大小只能在Java 8中自定义，并且该值应该仅为768、1024或2048位。

Answer 2

谢谢！！对于JBoss4.2.3移植与Firefox安全更新有关的救生筏3.6或4.0，这对我来说是有效的.

为了进行这些更改，我必须升级到Java 8，而且server.xml还需要在SSL连接器中添加以下行

SSLCipherSuite="ALL:!ADH:!SSLv2:!EXPORT40:!EXP:!LOW"

ciphers=不适用于较老的jBoss。这个临时修复将使旧代码正常工作，并确保安全。现在我要做一个永久性的修复。