Eu recentemente atualizei meu servidor Weblogic para o 10.3.6 com o java 7. Então, com isso, eu tenho o TLS1.0 - TLS 1.2 ativado via setEnv.sh. Algumas das cifras que estou usando para garantir que sejam compatíveis (suportadas pelo Weblogic, FF37, Chrome 44, etc) são as seguintes:
<ciphersuite>TLS_RSA_WITH_3DES_EDE_CBC_SHA</ciphersuite>
<ciphersuite>TLS_RSA_WITH_AES_128_CBC_SHA</ciphersuite>
<ciphersuite>TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA</ciphersuite>
<ciphersuite>TLS_RSA_WITH_AES_128_CBC_SHA256</ciphersuite>
<ciphersuite>TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256</ciphersuite><ciphersuite>TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA</ciphersuite>
Isso está em config.xml sob a tag ssl. Eu também tenho o JSSE ativado para ter certeza de que posso obter uma conexão TLS1.2.
A lista de códigos de suporte do Weblogic 10.3.6 foi encontrada aqui
Um problema que vejo com o SSL Labs é que, com essas cifras, ainda estou possivelmente vulnerável ao POODLE.
Uma varredura do Nmap me deu isso para o que as cifras são:
| ssl-enum-ciphers:
| SSLv3:
| ciphers:
| TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA - strong
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong
| TLS_RSA_WITH_3DES_EDE_CBC_SHA - strong
| TLS_RSA_WITH_AES_128_CBC_SHA - strong
| compressors:
| NULL
| TLSv1.0:
| ciphers:
| TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA - strong
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong
| TLS_RSA_WITH_3DES_EDE_CBC_SHA - strong
| TLS_RSA_WITH_AES_128_CBC_SHA - strong
| compressors:
| NULL
| TLSv1.1:
| ciphers:
| TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA - strong
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong
| TLS_RSA_WITH_3DES_EDE_CBC_SHA - strong
| TLS_RSA_WITH_AES_128_CBC_SHA - strong
| compressors:
| NULL
| TLSv1.2:
| ciphers:
| TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA - strong
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 - strong
| TLS_RSA_WITH_3DES_EDE_CBC_SHA - strong
| TLS_RSA_WITH_AES_128_CBC_SHA - strong
| TLS_RSA_WITH_AES_128_CBC_SHA256 - strong
| compressors:
| NULL
|_ least strength: strong
Antes de o TLS1.1 e o TLS1.2 serem ativados em setEnv.sh, não tive esse problema, por isso não tenho certeza por que adicioná-los mudou o que aconteceu.
Agora, minha pergunta é: como posso ter certeza de que eu tenho SSL3 desativado, mas ainda capaz de usar algumas das cifras CBC? ou tenho o apoio que preciso?
EDIT : Eu sei que as cifras CBC são um tipo não muito caro ... Estou aberto para sugestões de cifras que suportam TLS1.0 + e para um navegador tão baixo quanto o IE8.