Suíte de criptografia padrão selecionada pelo servidor

1

Temos o servidor de aplicativos Weblogic. Sempre que um navegador da Web envia uma solicitação, como parte do processo de criação de encapsulamento, ele envia uma lista de conjuntos de criptografia preferidos.

Perguntas:

  1. Como sei qual é o conjunto de cifras ou a cifra padrão selecionada pelo servidor WL ? Eu sei que posso usar o Fiddler para obter esses detalhes; Também posso clicar com o botão direito no ícone de bloqueio HTTPS do navegador e obtê-lo. Mas eu quero saber do final do servidor Weblogic que o processo Cipher foi selecionado, ele está definido em algum ambiente Weblogic .sh file? .

  2. Existe alguma maneira de alterar a prioridade de codificação no Weblogic? Eu fiz alguma pesquisa e consegui encontrar - Dweblogic.security.SSL.Ciphersuites=TLS_RSA_WITH_AES_256_CBC_SHA256" .

  3. O que acontece se eu configurar o Weblogic para usar a Cifra acima mencionada, e isso não está presente na lista de cifras enviadas pelo navegador? Meu pensamento é que o estabelecimento do túnel falhará e algum erro como conexão recusada ou falha será mostrado ao cliente / navegador.

Eu ficaria muito grato se essas respostas também puderem ser fornecidas pela perspectiva do Apache.

    
por hagrawal 13.08.2015 / 20:34

1 resposta

1

Acho que posso esclarecer algumas das perguntas

  1. O Weblogic usa um conjunto de criptografia padrão com base no tipo de segurança que você está usando (JSSE ou não) e isso varia de versão para versão. Por exemplo, o 10.3.0 usará um conjunto completamente diferente do 10.3.6. Você precisaria procurar isso com base na sua versão. Para ver isso, por favor, tente ativar a depuração SSL no console e ele deve informar os detalhes de cada conexão.

    1. SSL.Ciphersuites é o modo de limitar as cifras que o webloigc usará. Se você usar TLS_RSA_WITH_AES_256_CBC_SHA256, ele tentará um handshake usando as cifras da esquerda para a direita. Caso fique sem algoritmos mencionados, ele rejeitará a conexão SSL. Esta é uma aplicação estrita.

Eu sugeriria usar o apache como um front-end da web definindo o conjunto de criptografia nisso. Você verá a simplicidade disso e, como um bônus adicional, poderá defini-lo como @STRENGTH, que tentará o handshake do algoritmo mais strong para o mais fraco.

Portanto, se você configurar um servidor apache httpd na frente e forçar as restrições, não será necessário mexer com o weblogic e não precisará se preocupar em atualizar o java e o weblogic trimestralmente quando houver atualizações de segurança ou atualizações críticas.

Adição:

  1. O patch de segurança para o weblogic não termina apenas com o weblogic, mas também tem que ser feito com o java. Mas para o apache, você nem sempre precisa atualizar o apache, apenas o mod openssl e openssl do qual ele depende. Este processo torna muito simples o patch de segurança.

  2. O Apache tem várias opções de configuração que você pode usar para limitar as cifras.

SSLProtocol: Permite-lhe especificar manualmente as Cifras ou removê-las.

SSLCipherSuite: Permite escolher o conjunto de criptografia que você deseja permitir. Também tem a opção de permitir que você diga + ALTA + MÉDIA + BAIXA para conjunto de criptografia de alta e baixa intensidade, conforme definido pelo openssl. Você também pode dizer @STRENGTH e o cliente se conectará ao servidor com a combinação mais strong de protocolo de criptografia com a qual pode realizar um handshake.

O crème de la crème são as opções de registro disponíveis para você por SSL e quaisquer outros requisitos gerais que você gostaria de usar para solucionar problemas.

Mais sobre isso aqui:

link

link

Nota: o OpenSSL e o apache são amplamente suportados e testados por especialistas e é uma espécie de padrão não-escrito para tê-lo (servidor http) como o aplicativo voltado para a Internet, em vez de qualquer aplicativo baseado em Java.

    
por 31.08.2015 / 23:05

Tags