Quais cifras são compatíveis com o Java 6 / Tomcat 7 e o IE8 (XP)?

1

Desativei o SSL3 e restringi as criptografias disponíveis a um conjunto recomendado, mas agora não consigo acessar meu servidor usando o IE8 no Windows XP. Se eu permitir todas as cifras, então eu posso conectar usando o IE8, mas quando eu especificar um conjunto restrito de cifras eu não posso. Parece-me que eu preciso adicionar a cifra certa e, em seguida, o IE8 funcionará bem.

Quando tenho todas as cifras ativadas e acesso ao site usando o IE8, vejo que a conexão está usando TLS 1.0, RC4 com criptografia de 128 bits e RSA:

Eutenteiadicionarestacifra:TLS_RSA_WITH_RC4_128_SHA.MaseunãoachoqueoTomcat/Javareconheceuisso.

Meuconectoréassim:

<Connectorport="443" protocol="org.apache.coyote.http11.Http11Protocol"
           maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
           clientAuth="false" sslProtocol="TLS" sslEnabledProtocols="TLSv1.2,TLSv1.1,TLSv1" keystoreFile="C:\somewhere\my.keystore"
           ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,
           TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_RC4_128_SHA,
           TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,
           TLS_RSA_WITH_AES_256_CBC_SHA" />

Estou usando o Tomcat 7 e o Java 6

Isso pode ser um problema, mas estou me referindo a esses conjuntos de cifras , pois acho que estou restrito a eles pelo Java 6. Além disso, tenho me referido às cifras este documento (página 30) diz que o IE8 no XP suporta. Infelizmente não consigo encontrar uma correspondência entre os dois conjuntos de cifras.

ATUALIZAÇÃO:

Meu navegador IE8 no XP parece suportar apenas esses conjuntos de criptografia:

AtualizeiascifrasdoTomcatparaincluirtodaselas,masaindanãoconsigomeconectar:

ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_RC4_128_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_RC4_128_MD5,TLS_RSA_WITH_RC4_128_SHA,TLS_RSA_WITH_3DES_EDE_CBC_SHA,TLS_RSA_WITH_DES_CBC_SHA,TLS_RSA_EXPORT1024_WITH_RC4_56_SHA,TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA,TLS_RSA_EXPORT_WITH_RC4_40_MD5,TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5,TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA,TLS_DHE_DSS_WITH_DES_CBC_SHA,TLS_DHE_DSS_EXPORT1024_WITH_DES_CBC_SHA"

Eu não sei porque eu posso conectar com todas as cifras habilitadas, mas se eu especificar cada cifra suportada pelo navegador eu ainda não consigo me conectar

    
por Edd 19.11.2014 / 19:03

1 resposta

3

SSL_RSA_WITH_RC4_128_SHA deve funcionar - a razão para isso é apenas uma diferença na terminologia, as cifras no Java 6 que exigiam TLS eram as únicas que tinham o TLS no nome. Essa especificação de criptografia específica funciona com TLS e SSL, apesar do nome.

Esta configuração deve permitir conexões do IE8 no XP enquanto ainda rejeita conexões SSLv3, já que os protocolos habilitados são controlados com sslEnabledProtocols="TLSv1.2,TLSv1.1,TLSv1" .

Verifique se ele não está aceitando conexões SSLv3 com openssl s_client -ssl3 -connect example.com:443 .

    
por 19.11.2014 / 19:44