Weblogic在升级后减轻了贵宾狗的漏洞，并且仍然使用CBC密码

Question

最近，我用java 7将我的Weblogic服务器升级到10.3.6，因此我通过setEnv.sh启用了TLS1.0-TLS1.2。我用来确保它们兼容的一些密码(由Weblogic、FF37、Chrome 44等支持)如下：

<ciphersuite>TLS_RSA_WITH_3DES_EDE_CBC_SHA</ciphersuite>
<ciphersuite>TLS_RSA_WITH_AES_128_CBC_SHA</ciphersuite>
<ciphersuite>TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA</ciphersuite>
<ciphersuite>TLS_RSA_WITH_AES_128_CBC_SHA256</ciphersuite>
<ciphersuite>TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256</ciphersuite><ciphersuite>TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA</ciphersuite>

这在ssl标记下的config.xml中。我也启用了JSSE，以确保我可以获得一个TLS1.2连接。

支持WebLogic10.3.6的密码表找到了这里

我在SSL实验室中看到的一个问题是，有了这些密码器，我可能仍然容易受到贵宾犬的攻击。

Nmap扫描给了我这个密码是什么：

| ssl-enum-ciphers:
|   SSLv3:
|     ciphers:
|       TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA - strong
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong
|       TLS_RSA_WITH_3DES_EDE_CBC_SHA - strong
|       TLS_RSA_WITH_AES_128_CBC_SHA - strong
|     compressors:
|       NULL
|   TLSv1.0:
|     ciphers:
|       TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA - strong
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong
|       TLS_RSA_WITH_3DES_EDE_CBC_SHA - strong
|       TLS_RSA_WITH_AES_128_CBC_SHA - strong
|     compressors:
|       NULL
|   TLSv1.1:
|     ciphers:
|       TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA - strong
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong
|       TLS_RSA_WITH_3DES_EDE_CBC_SHA - strong
|       TLS_RSA_WITH_AES_128_CBC_SHA - strong
|     compressors:
|       NULL
|   TLSv1.2:
|     ciphers:
|       TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA - strong
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 - strong
|       TLS_RSA_WITH_3DES_EDE_CBC_SHA - strong
|       TLS_RSA_WITH_AES_128_CBC_SHA - strong
|       TLS_RSA_WITH_AES_128_CBC_SHA256 - strong
|     compressors:
|       NULL
|_  least strength: strong

在setEnv.sh中启用TLS1.1和TLS1.2之前，我没有这个问题，所以我不知道为什么添加它们会改变发生的情况。现在，我的问题是，如何确保禁用了SSL3，但仍然能够使用某些CBC密码？或者得到我需要的支持？

编辑:我知道CBC密码是不需要的.我是开放的建议密码支持TLS1.0+和浏览器低到IE8。

Answer 1

只要确保使用比7u75更高的Java7u75版本(默认情况下禁用它们)，那么我认为启用TLS1.0只会导致SSLv3降级，然后可以使用-Dweblogic.security.SSL.protocolVersion=TLS1和TLS1.1。您应该在很久以前就禁用https://community.qualys.com/thread/9974了。所以你可能有矛盾的要求。

Answer 2

现在回答这个问题为时已晚，但如果您使用的是与JDK7兼容的WebLogic10.3.6，则可以用作将来的参考。最近，Oracle发布了JDK7u131版本，默认情况下支持TLS1.1和TLS1.2。这样您就可以将JDK升级到7u131。