Remova as cifras SSL_RSA_WITH_3DES_EDE_CBC_SHA
e SSL_RSA_WITH_DES_CBC_SHA
da sua lista de cifras. Você também deve remover SSL_RSA_WITH_RC4_128_MD5
e SSL_RSA_WITH_RC4_128_SHA
da lista, pois ambos são considerados inseguros. Eu não acredito que você obtenha qualquer benefício das especificações !aNULL,!eNULL,!LOW,!MD5,!EXP,!PSK,!SRP,!DSS,!RC4,!3DES
se você está listando cifras individuais.
Se o seu servidor for acessível pela Internet, considere executar uma Análise SSLLabs no seu servidor. Caso contrário, você pode usar nmap –script ssl-enum-ciphers
para verificar sua configuração.
Você deve estar desabilitando as cifras em sua configuração Java. Veja: link para detalhes.
Você pode considerar o uso de TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 e TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA. No entanto, o Java teve um problema com essas cifras, fazendo com que 1 em 256 conexões com hosts compatíveis com padrões falhassem. Isso deve ser corrigido na última versão.
Você deve ser capaz de definir um conjunto seguro de cifras, adicionando as cifras à sua linha de comando Java. (Use apenas a última cifra, a menos que você esteja na versão mais recente do Java.)
-Dhttps.cipherSuites=TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA
Se você quiser usar criptografia de 256 bits, duplique cada código em ordem e altere 128 para 256 em uma das duplicatas. Não parece haver uma boa razão para usar 256 bits, e há relatos de que o uso de 256 bits pode ativar alguns ataques de temporização.