Tomcat关于DH算法问题解决办法

最新推荐文章于 2024-05-13 12:15:15 发布
最新推荐文章于 2024-05-13 12:15:15 发布
阅读量832 收藏 1
点赞数 3
文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bbxxyl/article/details/110442344
版权
文章详细介绍了Tomcat6版本中由于支持SSLv3和Diffie-Hellman算法导致的安全问题,如LogJam漏洞,以及Firefox 39后的访问限制。为了解决这些问题,提出了两种方案:升级Tomcat到7及以上版本或采用Apache/Nginx与Tomcat整合,通过Apache的ProxyPass转发功能实现HTTPS连接。同时提供了Apache整合的配置步骤。
摘要由CSDN通过智能技术生成

Tomcat 老版本存在的问题

Tomcat6的版本中是支持SSLv3和Diffie-Hellman算法的。研究人员指出,LogJam出现在常用的密钥交换加密演算法中(Diffie-Hellman key exchange),这个演算法让HTTPS、SSH、IPSec及SMTPS等网络协定产生共享的加密密钥,并建立安全连线。LogJam漏洞使黑客得以发动中间人攻击,让有漏洞的TLS连线降级为512-bit出口等级的密码交换安全性,再读取或修改经由TLS加密连线传输的资料。该漏洞情况与三月爆发的FREAK颇为类似,差别在于它是基于TLS协定的漏洞,而非实际的瑕疵,而且攻击目的为Diffie-Hellman,不是RSA的密钥交换。

Firefox 39版本后浏览器要求服务器必须关闭服务端 SSLv3存在漏洞的加密套件,否则禁止访问服务器页面,并出现 在服务器密钥交换握手信息中 SSL 收到了一个弱临时 Diffie-Hellman 密钥。(错误码: ssl_error_weak_server_ephemeral_dh_key)错误。

为彻底解决 Tomcat上默认开启SSLv3和使用弱口令算法导致的Firefox无法访问的问题,建议使用以下2个方案:

  1. 升级 Tomcat版本到7及其以上版本。
    由于升级涉及到业务系统调试和改造,推荐您视您的业务系统的正常使用而定,升级后您需要在SSL配置中配置
<Connector port="443"
protocol="org.apache.coyote.http11.Http11Protocol"
SSLEnabled="true"
maxThreads&
最低0.47元/天 解锁文章
vTrus2020
关注
Could not generate DH keypair,驱动程序无法通过使用安全套接字层(SSL)加密与 SQL Server 建立 安全连接
isunlight001的专栏
11-02 1323
最近使用spring配置dataSource时报了这个错:Could not generate DH keypair 问题解决方案:使用大于jdk1.7.0_21版本的jdk。 在调试的时候,可能各处都配对了还是报这个错误,很肯能就eclipse运行tomcat的jdk还是使用的低版本。 解决办法  :将jdk启动tomcat的版本改为jdk1.7.0
tomcat关于DH算法问题解决办法.doc
03-02
tomcat关于DH算法问题解决办法.doc Tomcat6的版本中是支持SSLv3和Diffie-Hellman算法
SSL/TLS中的DH算法DHE算法、 ECDHE算法介绍
遇见你是我最美丽的意外
09-16 7365
❤️SSL/TLS专栏导航页❤️ 文章目录1. DH算法简介2. DH算法协商流程3. DH算法证明4. SSL/TLS中的DH算法 1. DH算法简介 Diffie-Hellman密钥交换算法是在1976年由这两个人发明的算法。它可以在不安全的网络中,通过交换一些公开的信息协商出共享密钥,使用此共享密钥建立安全通讯。它实际上并没有直接交换密钥,而是通过数学计算,得出共享密钥。 有限域的离散对数问题的复杂度正是支撑DH密钥交换算法的基础。 ⚠️⚠️⚠️ DH算法属于非对称算法DH算法专利已经与.
服务器不支持 tls 重新协商修正,卷曲问题与不支持安全重新协商的网站
weixin_35033082的博客
08-01 284
语境:服务器:Debian 8.6卷曲7.38.0-4 deb8u11libcurl3:amd64 7.38.0-4 deb8u11openssl 1.0.1t-1 deb8u8案例1(KO)当我尝试连接到不支持的网站时通过命令行使用curl进行安全重新协商我总是收到此错误:与xxxxx连接时出现未知的SSL协议错误这是命令的完整输出:curl -v --tlsv1.2 xxxxxxxxx重建网址...
JAVA加密算法(4)- 非对称加密算法DH,RSA)
weixin_34307464的博客
10-27 178
非对称密码概念 发送者使用接收者的公钥加密,接收者使用自己的私钥解密。 需要两个密钥进行加密或解密,分为公钥和私钥 特点:安全性高,速度慢 常用算法 DH密钥交换算法 RSA算法 ElGamal算法那 用途 密钥交换(DH) 双方在没有确定共同密钥的情况下,生成密钥,不提供加密工作,加解密还需要其他对称加密算法实现 加密/解密(...
OpenSSH算法协议漏洞修复
Innocence_0的博客
03-02 1576
由于低版本的OpenSSH使用了过时不安全的加密算法协议,通常OpenSSH在版本迭代更新时会弃用这些不安全的加密算法。如果我们仍要继续使用旧版本的OpenSSH,可以根据实际情况,考虑屏蔽掉不安全的加密算法,以降低安全风险。
Tomcat的相对安全设置与配置(安全与漏洞)
spring_is_coming的博客
09-29 2750
前言: 近期, 系统进行了漏洞测试, 更改了很多东西, 特写一篇文章进行记录 !!! 1丶存在Apache tomcat示例文件 解决方案: 删除webapps目录下的自带项目 2丶启用了不安全的HTTP方法 解决方案: 禁用未使用到的HTTP方法 // 在web.xml文件中添加, 下面在<web-app>标签中配置 <security-constraint> <web-resource-collection> <url-pattern>/*&lt
DHDHE、ECDHE加密算法
迷雾总会解
09-12 4616
于是,DH 交换密钥时就只有客户端的公钥是变化,而服务端公钥是不变的,那么随着时间延长,黑客就会截获海量的密钥协商过程的数据,因为密钥协商的过程有些数据是公开的,黑客就可以依据这些数据暴力破解出服务器的私钥,然后就可以计算出会话密钥了,于是之前截获的加密数据会被破解,所以 static DH 算法不具备前向安全性。但反过来,知道真数却很难推算出对数。static DH 算法里有一方的私钥是静态的,也就说每次密钥协商的时候有一方的私钥都是一样的,一般是服务器方固定,即 a 不变,客户端的私钥则是随机生成的。
java6 tomcat7 could not generate dh keypair
08-30
在Java 6中使用Tomcat 7时出现"could not generate dh...总的来说,解决"java6 tomcat7 could not generate dh keypair"问题的最佳方法是升级Java版本,并更新Tomcat的配置以支持更高级别的SSL/TLS协议和密钥交换算法
网络加密认证算法 HTTP授权认证 角色访问控制模型 身份和访问管理 JWT一种认证协议 编码算法 加密算法 对称加密 加密、解密、签名、验签,密钥,证书 消息摘要 哈希散列算法
万有文的博客
04-30 549
生成数据的唯一密文,不可逆哈希 (Hash Algorithm) 散列算法,是将任意长度的数据映射为固定长度数据的算法,也称为消息摘要(主要用于数据完整性校验和加密/签名)。一般情况下,哈希算法有两个特点:原始数据的细微变化(比如一个位翻转)会导致结果产生巨大差距运算过程不可逆,理论上无法从结果还原输入数据密码哈希(Password Hash)MDMD2MD4MD5SHASHA-0SHA-1SHA-2SHA-256SHA-384SHA-512SHA-3。
一份关于windows server服务器的安全漏洞处理建议(来自绿盟安全评估)
分享型博主
07-26 7078
文章来自一份绿盟安全评估中的服务器漏洞扫描分析结果,据市场研究公司Gartner研究报告称“实施漏洞管理的企业会避免近90%的攻击”。可以看出,及时的漏洞修补可以在一定程度上防止病毒、攻击者的威胁。这个报告是合作单位的服务器安全评估出来的,帮忙协助处理下,希望对看到的小伙伴有所帮助,有问题咱们一起讨论实践哦。
9. PKI - 三种密钥交换算法详解(RSA& DHE& ECDHE)及他们在SSL/TLS协议中的应用
ttyy1112的专栏
08-03 5811
9. PKI - 三种密钥交换算法详解(RSA& DHE& ECDHE)及他们在SSL/TLS协议中的应用RSA密钥交换算法DHE密钥交换算法ECDHE密钥交换算法参考 密钥交换算法的介绍稍稍来迟了一些,密钥交换算法应该在介绍SSH、SSL/TLS协议之前优先介绍。不过 Latter better than nerver ! RSA密钥交换算法 RSA算法流程文字描述如下: (1)任意客户端对服务器发起请求,服务器首先发回复自己的公钥到客户端(公钥明文传输)。 (2)客户端使用随机数算法,生
SSL/TLS 服务器瞬时 Diffie-Hellman 公共密钥过弱
hongweibing1的专栏
11-21 1万+
详细描述 安全套接层(Secure Sockets Layer,SSL),一种安全协议,是网景公司(Netscape)在推出Web浏览器首版的同时提出的,目的是为网络通信提供安全及数据完整性。SSL在传输层对网络连接进行加密。传输层安全TLS(Transport Layer Security),IETF对SSL协议标准化(RFC 2246)后的产物,与SSL 3.0差异很小。  当服务
一份关于windows server服务器的安全漏洞处理建议(来自绿盟安全评估)_允许traceroute探测漏洞(1)
最新发布
2401_84545291的博客
05-13 1317
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
Apache的管理及优化
qiqi407121的博客
01-31 457
Apache用于提供超文本传输协议,本质上是一个软件。超文本传输协议:http://,提供该协议的软件一般有:Apache、nginx、stgw、jfe、Tengine,而Apache在网页应用中使用比较广泛,比如百度所使用的就是该软件。
DH 算法原理
冰冻三尺非一日之寒
06-30 9555
DH 算法原理         一、背景         DH算法全称为Diffie-Hellman算法。这种方法可以在不安全的网络环境中协商密钥。         二、原理         步骤1)发送方和接收方设置相同的大数数n和g,这两个数不是保密的, 他们可以通过非安全通道来协商这两个素数。         步骤2)发送方选择一个大随机整数x,计算 X = g^x mod
DH密钥交换在实践中的安全问题
weixin_42100211的博客
04-13 3197
主要内容来自论文和网络,本文为内容摘要和背景知识(当然,也算是翻译)。文末附有本人的漏洞复现思路和实践。
禁用3DES和DES弱加密算法,保证SSL证书安全
热门推荐
weixin_39724395的博客
01-03 3万+
apache服务器禁止使用3DES加密算法,在server.xml中添加配置
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值