Eu recentemente atualizei meu servidor Weblogic para o 10.3.6 com o java 7. Então, com isso, eu tenho o TLS1.0 - TLS 1.2 ativado via setEnv.sh. Algumas das cifras que estou usando para garantir que sejam compatíveis (suportadas pelo Weblogic, FF37, Chrome 44, etc) são as seguintes:
<ciphersuite>TLS_RSA_WITH_3DES_EDE_CBC_SHA</ciphersuite>
<ciphersuite>TLS_RSA_WITH_AES_128_CBC_SHA</ciphersuite>
<ciphersuite>TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA</ciphersuite>
<ciphersuite>TLS_RSA_WITH_AES_128_CBC_SHA256</ciphersuite>
<ciphersuite>TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256</ciphersuite><ciphersuite>TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA</ciphersuite>
Isso está em config.xml sob a tag ssl. Eu também tenho o JSSE ativado para ter certeza de que posso obter uma conexão TLS1.2.
A lista de códigos de suporte do Weblogic 10.3.6 foi encontrada aqui
Um problema que vejo com o SSL Labs é que, com essas cifras, ainda estou possivelmente vulnerável ao POODLE.
Uma varredura do Nmap me deu isso para o que as cifras são:
| ssl-enum-ciphers:
| SSLv3:
| ciphers:
| TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA - strong
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong
| TLS_RSA_WITH_3DES_EDE_CBC_SHA - strong
| TLS_RSA_WITH_AES_128_CBC_SHA - strong
| compressors:
| NULL
| TLSv1.0:
| ciphers:
| TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA - strong
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong
| TLS_RSA_WITH_3DES_EDE_CBC_SHA - strong
| TLS_RSA_WITH_AES_128_CBC_SHA - strong
| compressors:
| NULL
| TLSv1.1:
| ciphers:
| TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA - strong
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong
| TLS_RSA_WITH_3DES_EDE_CBC_SHA - strong
| TLS_RSA_WITH_AES_128_CBC_SHA - strong
| compressors:
| NULL
| TLSv1.2:
| ciphers:
| TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA - strong
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 - strong
| TLS_RSA_WITH_3DES_EDE_CBC_SHA - strong
| TLS_RSA_WITH_AES_128_CBC_SHA - strong
| TLS_RSA_WITH_AES_128_CBC_SHA256 - strong
| compressors:
| NULL
|_ least strength: strong
Antes de o TLS1.1 e o TLS1.2 serem ativados em setEnv.sh, não tive esse problema, por isso não tenho certeza por que adicioná-los mudou o que aconteceu. Agora, minha pergunta é: como posso ter certeza de que eu tenho SSL3 desativado, mas ainda capaz de usar algumas das cifras CBC? ou tenho o apoio que preciso?
EDIT : Eu sei que as cifras CBC são um tipo não muito caro ... Estou aberto para sugestões de cifras que suportam TLS1.0 + e para um navegador tão baixo quanto o IE8.
Apenas certifique-se de usar uma versão superior do Java do que 7u75 (desabilita-os por padrão) e, em seguida, acho que ativar o TLS1.0 só pode causar o downgrade do SSLv3 e, em seguida, usar -Dweblogic.security.SSL.protocolVersion = TLS1 e TLS1.1. Você deve ter desativado o CBC há muito tempo link . Então você pode ter requisitos conflitantes.
Está atrasado para responder agora, mas pode ser usado como referência futura, se você estiver usando o Weblogic 10.3.6, que é compatível com o JDK7. Recentemente, a Oracle lançou a versão JDK 7u131, que suporta TLS1.1 e TLS1.2 por padrão. Então você pode atualizar o JDK para 7u131.