为Jetty配置SSL密码套件

Question

我正在尝试为我的应用程序中的嵌入式jetty服务器设置允许的ssl密码套件。如果我只在SslContextFactory文件设置中使用SslContextFactory设置，因为某些原因，在运行sslscan时，它只列出TLSv1.2的密码，而不是TLSv1.1或TLSv1.0。我需要能够让jetty使用所有三个TLS版本。不管怎样，我可以为Jetty设置IncludeCipherSuites，以便正确设置列表。

Answer 1

Jetty9.3.8禁用树懒易受攻击的密码，这些密码阻止使用最新版本的Chrome进行适当加密(如果您重新启用树懒易受攻击的密码，您将看到Chrome中破损的挂锁图标)。

您将希望在您的${jetty.base}/etc/tweak-ssl.xml中设置一个${jetty.base}/start.ini和适当的条目

注意:您应该使用拆分的${jetty.home}和${jetty.base}目录结构和而不是来修改${jetty.home}内容。

这里有文档：https://www.eclipse.org/jetty/documentation/current/configuring-ssl.html#configuring-sslcontextfactory-cipherSuites

至于使用什么配置，这取决于您的决定。

知道不包括赢得包括在内。如果密码套件被排除在外，则包含列表中的任何添加都不会启用它。

还要注意，JVM本身也正在禁用各种旧协议和密码套件，遵循Jetty在安全性方面的相同准则和更新规范。在不久的将来，您还必须在JVM级别重新启用这些密码和协议。