Tomcat6+JDK6如何加固,解决Logjam attack,

最新推荐文章于 2023-04-11 17:44:17 发布
最新推荐文章于 2023-04-11 17:44:17 发布
阅读量127 收藏
点赞数
文章标签: java
原文链接:https://yq.aliyun.com/articles/514761
版权

最近更新了最新版浏览器的同学是不是偶尔会遇到SSL加密协议不灵,访问不了的情况?

最典型的例子是使用FF39或38.0.2访问某些网站时报错:Error code: ssl_error_weak_server_ephemeral_dh_key

wKioL1XDb4mRBafgAAF6hGju614628.jpg

这是由于你的客户端(FF39)废弃了DHE、RC4密码,而服务器端默认使用DHE、RC4加密的密钥尝试与客户端进行通信,结果客户端就报错了。


解决办法:

1、首先你要确保你的密钥(证书)加密长度>1023bit,因为<1023bit FF会认为不安全。自签名证书的,自己去看看怎么把key size设置为1024或大于1024。如果是CA机构签名的,就需要去CA机构申请重新签名更换证书。

2、服务器SSL设置中,要disable DHE cipher suites,要disable TLSv2 TLSv3,启用TLSv1,TLSv1.1,TLSv1.2。

3、服务器SSL设置中还要明确指定可以使用的cipher suites。如果是tomcat6+JDK6,那么以下cipher suites可用:

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA

TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA

TLS_ECDH_RSA_WITH_AES_256_CBC_SHA

TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA

TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA

TLS_ECDH_RSA_WITH_AES_128_CBC_SHA

TLS_ECDH_ECDSA_WITH_RC4_128_SHA

TLS_ECDH_RSA_WITH_RC4_128_SHA

TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA

TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA

TLS_ECDH_ECDSA_WITH_3DES_EDE_CBC_SHA

TLS_ECDH_RSA_WITH_3DES_EDE_CBC_SHA

TLS_RSA_WITH_AES_256_CBC_SHA

TLS_RSA_WITH_AES_128_CBC_SHA


配置例子:

打开tomcat的server.xml,参考以下配置:

1
< Connector  protocol = "org.apache.coyote.http11.Http11Protocol"  URIEncoding = "UTF-8"  port = "9090"  SSLEnabled = "true"  maxThreads = "150"  scheme = "https"  secure = "true"  clientAuth = "false"  protocols = "TLSv1,TLSv1.1,TLSv1.2"  keystoreFile = "k.keystore"  keystorePass = "a123456"  truststoreFile = "k.keystore"  truststorePass = "a123456"  ciphers = "TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA,TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA,TLS_ECDH_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA,TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA,TLS_ECDH_RSA_WITH_AES_128_CBC_SHA,TLS_ECDH_ECDSA_WITH_RC4_128_SHA,TLS_ECDH_RSA_WITH_RC4_128_SHA,TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA,TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA,TLS_ECDH_ECDSA_WITH_3DES_EDE_CBC_SHA,TLS_ECDH_RSA_WITH_3DES_EDE_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA" />


参考资料:

https://developer.mozilla.org/en-US/Firefox/Releases/39/Site_Compatibility

https://weakdh.org/

https://weakdh.org/sysadmin.html

https://weakdh.org/logjam.html

https://en.wikipedia.org/wiki/Diffie%E2%80%93Hellman_key_exchange


本文转自 rickqin 51CTO博客,原文链接:http://blog.51cto.com/rickqin/1682426


weixin_33806300
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SSL/TLS攻击介绍--重协商漏洞攻击
海米一枚
01-05 3718
SSL/TLS重协商漏洞攻击
阿里云搭建Tomcat+Jdk+Mysql(阿里云系统CentOs)特完整
qq_38363506的博客
08-25 4435
1.首先我们应该先去百度云盘下载安装包资源: 链接:https://pan.baidu.com/s/1Agm8KhX1drH5OfqEn_eflA 提取码:a5xp 然后通过xftp把这些资源包上传到阿里云服务器上 2.首先先了解下LINUX命令:按ESC键 跳到命令模式,然后: :wq 保存文件并退出vi :wq! 强制保存文件,并退出vi 3......
Windows服务器中防御LOGJAM攻击与Sweet32攻击
【CSDN】
03-08 3989
Windows服务器中防御LOGJAM攻击与Sweet32攻击https://www.cnblogs.com/masahiro/p/15272066.html LOGJAM 攻击是一个 SSL/TLS 漏洞,允许攻击者拦截易受攻击的客户端和服务器之间的 HTTPS 连接, 并强制它们使用“导出级”加密,然后可以对其进行解密或更改。发现网站支持 DH(E) 导出密码套件, 或使用小于 1024 位的 DH 素数或最大 1024 位的常用 DH 标准素数的非导出 DHE 密码套件时,会发出 此漏洞警报。 S
SSL/TLS LogJam中间人安全限制绕过漏洞 (CVE-2015-4000)
热门推荐
hongweibing1的专栏
11-21 1万+
详细描述 TLS是安全传输层协议,用于在两个通信应用程序之间提供保密性和数据完整性。  TLS 1.2及更早版本,在服务器上启用但不在客户端启用DHE_EXPORT密码组时,没有正确转送DHE_EXPORT选择,中间人攻击者通过用DHE_EXPORT代替DHE,重写ClientHello,然后用DHE代替DHE_EXPORT,重写ServerHello(即"Logjam"问题),利用此
SSL/TLS LogJam中间人安全限制绕过漏洞
hkm的博客
03-18 3513
关闭Oracle的OEM服务 Win+R进入到运行界面,输入services.msc 确定 找到OrcleDBConsoleorcl服务 选中服务----右键找到属性---点击进入 ----在常规项中---启动类型设置为禁用------确定 关闭成功! ...
Docker构建tomcat镜像jdk1.8+tomcat9.zip
08-28
docker制作自定义化的tomcat镜像,满足项目自定义需求,相关文章指导可参考https://blog.csdn.net/Ber_Bai/article/details/119960730?spm=1001.2014.3001.5501
Tomcat6+IIS6+jdk
07-02
Tomcat6+IIS6+jdk 本人测试n次,成功!步骤详细!
NSIS NSI源代码 制作JAVA WEB + TOMCAT7 + jdk1.7
08-21
标题中的“NSIS NSI源代码 制作JAVA WEB + TOMCAT7 + jdk1.7”表明这是一个关于使用NSIS(Nullsoft Scriptable Install System)脚本语言创建安装程序的项目,目的是打包一个Java Web应用程序,其中包括TOMCAT7...
JTM——(jdk1.8+tomcat8.5+mysql)环境集成
11-28
这是一个集成了jre,tomcat,mysql的绿色运行环境,解压之后就可以直接运行web(只要会点鼠标),不需要用户自己安装jre、tomcat、mysql,一键到位,看起来像是桌面程序的web应用.
TLS/SSl相关的攻击漏洞及检测方法大杂烩!
qq_50854662的博客
08-15 4248
TLS/SSl相关的攻击漏洞及检测方法大杂烩!
tomcat 配置支持 SSL/TLS
datouniao1的博客
01-24 1626
如何配置tomcat 支持SSL/TLS 生成证书 C:\Users\wdg>keytool -genkey -alias tomcat -keyalg RSA 输入密钥库口令: 再次输入新口令: 您的名字与姓氏是什么? [Unknown]: wdg 您的组织单位名称是什么? [Unknown]: wdg 您的组织名称是什么? [Unknown]: wdg 您所在的城市或区域名称是什么? [Unknown]: zhengzhou 您所在的省/市/自治区名称是什么? [Unk
Tomcat如何开启SSL配置(https)
weixin_34075268的博客
03-22 1086
一、创建证书 证书用于客户端与服务端安全认证。我们可以使用JDK自带的keytool工具来生成证书。真正在产品环境中使用肯定要去证书提供商去购买,证书认证一般都是由VeriSign认证,官方地址:http://www.verisign.com/cn/ 生成密钥库和证书: 1、生成服务器证书库 keytool -validity 365 -genkey -v...
Tomcat 配置SSL/TLS(https)
ck784101777的博客
01-04 8558
1.什么是SSL/TLS TLS:Transport Layer Security 安全传输层 SSL:Secure Sockets Layer 安全接口层 SSL/TLS协议确保安全的访问web页面,它是如何做到的呢? 1.当配置了SSL/TLS后,数据在传输前将被加密,传输方在传输数据时进行加密,接收方接受数据时解密,这意味着服务器和客户端在传输数据时都会进行加密与解密...
CentOS 7 配置JDK+Tomcat+SSL
最新发布
qq_44484541的博客
04-11 182
【代码】CentOS 7 配置JDK+Tomcat+SSL。
使用JDK中的 keytool【创建证书】・【查看】・【使用】
sun0322
05-22 8922
1.创建证书 keytool -genkey -alias myTomcat ---- --- --- ■扩展 1.cacerts文件没有被修改 cd c:\Program Files\Java\jre1.8.0_191\lib\security 2.查看证书指纹 keytool -list -keystore cacerts -storepass changeit -- 3.查看证书详细信息 keytool -list -v -keystore ca.
https ssl证书配置
qq_27275851的博客
04-24 1246
1.申请证书 *申请证书可以直接去aliyun或者其他网站申请。 2.利用jdk的自带工具。 拿到pxf证书以后生成jks文件 keytool -importkeystore -srckeystore F:\https证书\springboot\源pfx文件\214906443400968.pfx -destkeystore zzyzzy.jks -srcstoretype PKCS12 -d...
解决tomcat关于SSL的漏
xiaowen_10的专栏
07-28 1万+
用nessus扫描tomcat的ssl漏洞并修复sslv2 sslv3的漏洞
Tomcat关于DH算法问题解决办法
vTrus
12-01 819
Tomcat关于DH算法问题解决办法 Tomcat 老版本存在的问题 Tomcat6的版本中是支持SSLv3和Diffie-Hellman算法的。研究人员指出,LogJam出现在常用的密钥交换加密演算法中(Diffie-Hellman key exchange),这个演算法让HTTPS、SSH、IPSec及SMTPS等网络协定产生共享的加密密钥,并建立安全连线。LogJam漏洞使黑客得以发动中间人攻击,让有漏洞的TLS连线降级为512-bit出口等级的密码交换安全性,再读取或修改经由TLS加密连线传输的资料
Linux环境下Oracle10g+Tomcat6+jDK配置指南
“Oracle10g+Tomcat+jdk配置.pdf(linux)”是关于在Linux环境下配置Oracle 10g数据库、Apache Tomcat服务器以及Java Development Kit (JDK) 的详细指南。作者是邱臣君,并提供了联系方式。 在Linux上配置这些组件...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值