Nossas configurações atuais (padrão) do firewall Sophos (proxy reverso do Apache) não permitem que os clientes Java 6 se conectem por HTTPS. O resultado ssltest mostra que a razão é "O cliente não suporta parâmetros DH > 1024 bits".
Os relatórios ssltest com classificação 'A' para outros sites (por exemplo, link ) provam que existem maneiras de configurar um firewall HTTPS para que os clientes Java 6 são capazes de se conectar.
Entramos em contato com o suporte da Sophos. A resposta deles foi que não deveríamos diminuir nossas configurações de segurança. Em vez disso, nosso cliente deve considerar uma atualização Java.
Ambas as respostas certamente parecem razoáveis. No entanto, não temos influência sobre a configuração de TI do nosso cliente.
Pergunta : é possível configurar um proxy reverso do Apache para que as conexões HTTPS de entrada do Java 6 sejam possíveis, sem reduzir a segurança?
Se eu comparar nossos conjuntos de criptografia de servidor com um servidor que suporta conexões HTTPS do Java 6, posso ver que temos mais ciphers ativados, então acho que o motivo dos problemas de conectividade do Java 6 é uma das cifras extras. No entanto, acho que remover algumas das cifras DH poderia introduzir problemas de conectividade com outros clientes.
Nosso cliente nos pediu para remover todas as cifras DHE. Estes são:
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
TLS_DHE_RSA_WITH_AES_256_CBC_SHA
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA
TLS_DHE_RSA_WITH_AES_128_CBC_SHA
Temos várias cifras TLS_ECDHE_ instaladas.
Um artigo relacionado em link diz que
TLS_DHE_xxx cipher suites are not used much in the wild - Only one site (Wikipedia.org) in the top ten sites on Alexa.com actually uses them. None of the others do, instead relying on TLS_ECDHE_xxx or TLS_RSA_xxx ciphers. From this, I can only deduce that there are not many browsers out there that are affected by not using these ciphers, otherwise these large sites would be cutting people off.
Então, acho que é seguro remover essas cifras se sabemos que nenhum cliente precisa delas e ver o que acontece.