我实际上正在为我的硕士学位Webapp项目配置一个WL12c环境,该项目将通过SSL使用。
对于典型的配置,我只是在JVM道具上添加以下内容:
-Dweblogic.security.SSL.Ciphersuites=ECDHE-RSA-AES128-GCM-SHA384,ECDHE-RSA-AES128-GCM-SHA128,DHE-RSA-AES128-GCM-SHA384,DHE-RSA-AES128-GCM-SHA128,ECDHE-RSA-AES128-SHA384,ECDHE-RSA-AES128-SHA128,ECDHE-RSA-AES128-SHA,ECDHE-RSA-AES128-SHA,DHE-RSA-AES128-SHA128,DHE-RSA-AES128-SHA128,DHE-RSA-AES128-SHA,DHE-RSA-AES128-SHA,ECDHE-RSA-DES-CBC3-SHA,EDH-RSA-DES-CBC3-SHA,AES128-GCM-SHA384,AES128-GCM-SHA128,AES128-SHA128,AES128-SHA128,AES128-SHA,AES128-SHA,DES-CBC3-SHA
-Dweblogic.security.SSL.protocolVersion=TLS1
我对TLS1+配置没问题,因为我避免了RC4和CBC密码。。
我真正的问题是,对于其他产品,我有一个确保密码顺序的标志,一开始用"更强大的"来回答。请使用SSLHonorCipherOrder和ssl_prefer_server_ciphers检查行:
# apache
SSLProtocol all -SSLv2 -SSLv3
SSLHonorCipherOrder on
SSLCipherSuite "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384
EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4
EECDH EDH+aRSA RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS"
# nginx
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384
EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4
EECDH EDH+aRSA RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS";
Weblogic 12c有这样的标志吗?weblogic.security.SSL.Ciphersuites上使用的顺序是否足够?我没有从Oracle文档中得到任何关于我的发现的确认。
编辑:我使用的是Java 1.7
感谢
没有WL有标志来确保这一点。也没有尽快实施的计划。
来自Oracle支持:
回复1:
不,在JSSE实现中,WLS 12.1.2中没有记录遵守服务器端SSL密码套件首选顺序的功能。
回复2:
感谢您的耐心等待,我正在获得关于任何可能订购密码套件的确认。不幸的是,从WLS 12.1.2开始,没有记录到遵守服务器端SSL密码套件首选顺序的功能。
这可能会在未来的WLS版本中发生变化。我目前正在试图获得信息,如果你感兴趣的话,这个功能是否会被计划添加到未来的任何版本中。
回复3:
我已经收到我们产品管理层的确认,未来不计划包括"SSLHonorCipherOrder"这样的选项。
但也许你实际上并不需要这一点,因为以下对WLS来说是正确的,我相信这就是你真正想要实现的:在SSL握手期间,客户端发送一个密码套件列表,然后服务器从自己的列表中选择客户端也支持的最强密码。
如果您关心任何特定的弱密码套件,则应排除这些,即只配置您想要使用的强密码套件。