Eu tenho um serviço da Web em execução em Apache Tomcat 7
com o seguinte elemento conector em server.xml
:
<Connector port="443" protocol="org.apache.coyote.http11.Http11Protocol"
SSLEnabled="true"
maxThreads="150"
scheme="https"
secure="true"
clientAuth="false"
keystoreFile="C:\Java\myhost.keystore"
keystorePass="importkey"
sslProtocol="TLS"
/>
Isso vem funcionando bem há anos, mas agora surgiu uma nova ameaça de segurança Logjam
, e estou tentando proteger meu serviço da Web usando o Instruções para implantar o Diffie-Hellman para TLS .
Então, adicionei a seguinte linha ao elemento <connector>
:
ciphers="ECDHE-RSA-AES128-GCM-SHA256, ECDHE-ECDSA-AES128-GCM-SHA256,
ECDHE-RSA-AES256-GCM-SHA384, ECDHE-ECDSA-AES256-GCM-SHA384,
DHE-RSA-AES128-GCM-SHA256,
DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA,
ECDHE-ECDSA-AES256-SHA, DHE-RSA-AES128-SHA256, DHE-RSA-AES128-SHA,
DHE-DSS-AES128-SHA256, DHE-RSA-AES256-SHA256, DHE-DSS-AES256-SHA,
DHE-RSA-AES256-SHA, AES128-GCM-SHA256, AES256-GCM-SHA384,
AES128-SHA256, AES256-SHA256, AES128-SHA, AES256-SHA, AES, CAMELLIA,
DES-CBC3-SHA"
O Tomcat é reiniciado, mas eu não consigo mais me conectar ao meu serviço da Web.
Ao examinar o log, notei esta linha:
WARNING: None of the ciphers specified are supported by the SSL engine
: ECDHE-RSA-AES128-GCM-SHA256, ECDHE-ECDSA-AES128-GCM-SHA256,
ECDHE-RSA-AES256-GCM-SHA384, ECDHE-ECDSA-AES256-GCM-SHA384,
DHE-RSA-AES128-GCM-SHA256,
DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA,
ECDHE-ECDSA-AES256-SHA, DHE-RSA-AES128-SHA256, DHE-RSA-AES128-SHA,
DHE-DSS-AES128-SHA256, DHE-RSA-AES256-SHA256, DHE-DSS-AES256-SHA,
DHE-RSA-AES256-SHA, AES128-GCM-SHA256, AES256-GCM-SHA384,
AES128-SHA256, AES256-SHA256, AES128-SHA, AES256-SHA, AES, CAMELLIA,
DES-CBC3-SHA
O que estou perdendo ao tentar fazer com que o Tomcat use apenas essas cifras?
Como faço com que eles sejam suportados pelo mecanismo SSL?