Como desabilitar as cifras DES e 3DES na porta do gerenciador de nó do Oracle WebLogic Server (5556) no servidor Red Hat Linux

1

Como desabilitar as codificações DES e 3DES na porta do gerenciador de nó do Oracle WebLogic Server (5556) no servidor Red Hat Linux. Eu tentei com muitas soluções, mas não funcionando como esperado. Aqui está o meu código SSLCipherSuite no arquivo ssl.conf.

SSLCipherSuite SSL_RSA_WITH_RC4_128_MD5,SSL_RSA_WITH_RC4_128_SHA,SSL_RSA_WITH_3DES_EDE_CBC_SHA,SSL_RSA_WITH_DES_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,!aNULL,!eNULL,!LOW,!MD5,!EXP,!PSK,!SRP,!DSS,!RC4,!3DES
    
por venkat 10.11.2017 / 11:04

1 resposta

1

Remova as cifras SSL_RSA_WITH_3DES_EDE_CBC_SHA e SSL_RSA_WITH_DES_CBC_SHA da sua lista de cifras. Você também deve remover SSL_RSA_WITH_RC4_128_MD5 e SSL_RSA_WITH_RC4_128_SHA da lista, pois ambos são considerados inseguros. Eu não acredito que você obtenha qualquer benefício das especificações !aNULL,!eNULL,!LOW,!MD5,!EXP,!PSK,!SRP,!DSS,!RC4,!3DES se você está listando cifras individuais.

Se o seu servidor for acessível pela Internet, considere executar uma Análise SSLLabs no seu servidor. Caso contrário, você pode usar nmap –script ssl-enum-ciphers para verificar sua configuração.

Você deve estar desabilitando as cifras em sua configuração Java. Veja: link para detalhes.

Você pode considerar o uso de TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 e TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA. No entanto, o Java teve um problema com essas cifras, fazendo com que 1 em 256 conexões com hosts compatíveis com padrões falhassem. Isso deve ser corrigido na última versão.

Você deve ser capaz de definir um conjunto seguro de cifras, adicionando as cifras à sua linha de comando Java. (Use apenas a última cifra, a menos que você esteja na versão mais recente do Java.)

-Dhttps.cipherSuites=TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA

Se você quiser usar criptografia de 256 bits, duplique cada código em ordem e altere 128 para 256 em uma das duplicatas. Não parece haver uma boa razão para usar 256 bits, e há relatos de que o uso de 256 bits pode ativar alguns ataques de temporização.

    
por 11.11.2017 / 15:59