Weblogic Смягчают уязвимость ПУДЕЛЯ после обновления и все еще используют шифры CBC
Я недавно обновил свой сервер Weblogic до 10.3.6 с java 7. Таким образом с этим у меня есть TLS1.0 - TLS 1.2 включил через setEnv.sh. Некоторые шифры, которые я использую, чтобы удостовериться, что они совместимы (поддерживаемый Weblogic, FF37, Chrome 44, и т.д.) следующие:
<ciphersuite>TLS_RSA_WITH_3DES_EDE_CBC_SHA</ciphersuite>
<ciphersuite>TLS_RSA_WITH_AES_128_CBC_SHA</ciphersuite>
<ciphersuite>TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA</ciphersuite>
<ciphersuite>TLS_RSA_WITH_AES_128_CBC_SHA256</ciphersuite>
<ciphersuite>TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256</ciphersuite><ciphersuite>TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA</ciphersuite>
Это находится в config.xml под тегом ssl. У меня действительно есть JSSE позволенным также удостовериться, что я могу получить соединение TLS1.2.
Поддерживаемый cipherlist для Weblogic 10.3.6 найденных здесь
Одна проблема, которую я вижу с Labs SSL, - то, что с этими шифрами, я все еще возможно уязвим для ПУДЕЛЯ.
Сканирование Nmap дало мне это для того, каковы шифры:
| ssl-enum-ciphers:
| SSLv3:
| ciphers:
| TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA - strong
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong
| TLS_RSA_WITH_3DES_EDE_CBC_SHA - strong
| TLS_RSA_WITH_AES_128_CBC_SHA - strong
| compressors:
| NULL
| TLSv1.0:
| ciphers:
| TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA - strong
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong
| TLS_RSA_WITH_3DES_EDE_CBC_SHA - strong
| TLS_RSA_WITH_AES_128_CBC_SHA - strong
| compressors:
| NULL
| TLSv1.1:
| ciphers:
| TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA - strong
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong
| TLS_RSA_WITH_3DES_EDE_CBC_SHA - strong
| TLS_RSA_WITH_AES_128_CBC_SHA - strong
| compressors:
| NULL
| TLSv1.2:
| ciphers:
| TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA - strong
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 - strong
| TLS_RSA_WITH_3DES_EDE_CBC_SHA - strong
| TLS_RSA_WITH_AES_128_CBC_SHA - strong
| TLS_RSA_WITH_AES_128_CBC_SHA256 - strong
| compressors:
| NULL
|_ least strength: strong
Прежде чем TLS1.1 и TLS1.2 были включены в setEnv.sh, у меня не было этой проблемы, таким образом, я не уверен, почему добавление их изменило то, что произошло. Теперь мой вопрос состоит в том, как я удостоверяюсь, что у меня есть отключенный SSL3, но все еще способный использовать некоторые шифры CBC? или имеет поддержка, мне нужно?
Править: Я знаю, что шифры CBC не являются никаким bueno видом вещи... Я открыт для предложений для TLS1.0 поддержки шифров + и для браузера настолько же низко как IE 8.
Просто убедитесь, что вы используете более позднюю версию Java, чем 7u75 (она отключает их по умолчанию), тогда я думаю, что включение только TLS1.0 может вызвать понижение версии для SSLv3, тогда вы можете использовать -Dweblogic .security.SSL.protocolVersion = TLS1 и TLS1.1. Вам уже давно следовало отключить CBC https://community.qualys.com/thread/9974 . Таким образом, у вас могут быть противоречивые требования.
Сейчас уже поздно отвечать, но может быть использовано в качестве ссылки в будущем, , если вы используете Weblogic 10.3.6, который совместим с JDK7. Недавно компания Oracle выпустила версию JDK 7u131, которая по умолчанию поддерживает TLS1.1 и TLS1.2. Таким образом, вы можете обновить JDK до 7u131.
.