Suporte ao Jetty 9 para TLS_FALLBACK_SCSV

3

Estou tentando obter o A + no Teste do servidor SSL @ SSL Labs . No entanto, não consigo descobrir como passar no teste de "prevenção contra ataques de downgrade":

EstouexecutandooJetty9.3.0.v20150612aoladodoOpenJDK8,noLinuxUbuntu15.04(VividVervet).

hristo@test:~$java-versionopenjdkversion"1.8.0_45-internal"
OpenJDK Runtime Environment (build 1.8.0_45-internal-b14)
OpenJDK 64-Bit Server VM (build 25.45-b02, mixed mode)

Eu li e segui as instruções da documentação de configuração SSL do Jetty , e tentei o meu melhor para editar os arquivos de configuração XML relevantes. Não importa o que eu tente, ainda vejo "Não, TLS_FALLBACK_SCSV não suportado".

Eu ativei os módulos https e ssl para o Jetty executando este comando:

$ java -jar start.jar --add-to-startd=https,ssl
INFO: ssl             initialised in ${jetty.base}/start.d/ssl.ini
INFO: https           initialised in ${jetty.base}/start.d/https.ini
INFO: Base directory was modified

Eu não modifiquei a baunilha jetty.xml nem jetty-https.xml porque não tenho certeza do que preciso alterar lá. Aqui está o que eu tenho para minhas configurações:

start.ini

# added this to the bottom of start.ini
# TLS configuration
-Dhttps.protocols="TLSv1,TLSv1.1,TLSv1.2"
-Djdk.tls.client.protocols="TLSv1,TLSv1.1,TLSv1.2"
-Djdk.tls.ephemeralDHKeySize=2048

jetty-ssl-context.xml

<?xml version="1.0"?>
<!DOCTYPE Configure PUBLIC "-//Jetty//Configure//EN" "http://www.eclipse.org/jetty/configure_9_3.dtd">

<!-- ============================================================= -->
<!-- SSL ContextFactory configuration                              -->
<!-- ============================================================= -->
<Configure id="sslContextFactory" class="org.eclipse.jetty.util.ssl.SslContextFactory">

  <!-- ===================== -->
  <!-- other default configs -->
  <!-- ===================== -->

  <Set name="IncludeCipherSuites">
    <Array type="String">
      <Item>TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384</Item>
      <Item>TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256</Item>
      <Item>TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384</Item>
      <Item>TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256</Item>
      <Item>TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA</Item>
      <Item>TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA</Item>

      <Item>TLS_DHE_RSA_WITH_AES_256_GCM_SHA384</Item>
      <Item>TLS_DHE_RSA_WITH_AES_128_GCM_SHA256</Item>
      <Item>TLS_DHE_RSA_WITH_AES_256_CBC_SHA</Item>
      <Item>TLS_DHE_RSA_WITH_AES_128_CBC_SHA</Item>
      <Item>TLS_DHE_RSA_WITH_AES_256_CBC_SHA256</Item>
      <Item>TLS_DHE_RSA_WITH_AES_128_CBC_SHA256</Item>

      <Item>TLS_RSA_WITH_AES_256_GCM_SHA384</Item>
      <Item>TLS_RSA_WITH_AES_128_GCM_SHA256</Item>
      <Item>TLS_RSA_WITH_AES_256_CBC_SHA256</Item>
      <Item>TLS_RSA_WITH_AES_128_CBC_SHA256</Item>
      <Item>TLS_RSA_WITH_AES_256_CBC_SHA</Item>
      <Item>TLS_RSA_WITH_AES_128_CBC_SHA</Item>
    </Array>
  </Set>
  <Set name="IncludeProtocols">
    <Array type="java.lang.String">
       <Item>TLSv1</Item>
       <Item>TLSv1.1</Item>
       <Item>TLSv1.2</Item>
    </Array>
  </Set>
  <Set name="ExcludeCipherSuites">
    <Array type="String">
      <Item>SSL.*</Item>
      <Item>.*DES.*</Item>
      <Item>.*DSS.*</Item>
      <Item>.*KRB.*</Item>
      <Item>.*MD5.*</Item>
      <Item>.*NULL.*</Item>
      <Item>.*RC4.*</Item>
    </Array>
  </Set>
  <Set name="ExcludeProtocols">
    <Array type="java.lang.String">
       <Item>SSL</Item>
       <Item>SSLv2</Item>
       <Item>SSLv2Hello</Item>
       <Item>SSLv3</Item>
    </Array>
  </Set>
  <Set name="renegotiationAllowed" type="boolean">false</Set>
  <Set name="useCipherSuitesOrder"><Property name="jetty.sslContext.useCipherSuitesOrder" default="true"/></Set>
</Configure>

O que mais eu estou sentindo falta? Preciso configurar o Jetty um pouco mais? Preciso configurar o Java 8 de alguma forma? Preciso modificar algumas configurações especiais do Ubuntu?

    
por Hristo 22.06.2015 / 03:36

1 resposta

4

Ele simplesmente não está implementado em Java ainda - está planejado para o Java 9.

Você pode seguir # JDK-8061798 para atualizações.

    
por 26.06.2015 / 16:13