Acho que posso esclarecer algumas das perguntas
-
O Weblogic usa um conjunto de criptografia padrão com base no tipo de segurança que você está usando (JSSE ou não) e isso varia de versão para versão. Por exemplo, o 10.3.0 usará um conjunto completamente diferente do 10.3.6. Você precisaria procurar isso com base na sua versão. Para ver isso, por favor, tente ativar a depuração SSL no console e ele deve informar os detalhes de cada conexão.
-
- SSL.Ciphersuites é o modo de limitar as cifras que o webloigc usará. Se você usar TLS_RSA_WITH_AES_256_CBC_SHA256, ele tentará um handshake usando as cifras da esquerda para a direita. Caso fique sem algoritmos mencionados, ele rejeitará a conexão SSL. Esta é uma aplicação estrita.
Eu sugeriria usar o apache como um front-end da web definindo o conjunto de criptografia nisso. Você verá a simplicidade disso e, como um bônus adicional, poderá defini-lo como @STRENGTH, que tentará o handshake do algoritmo mais strong para o mais fraco.
Portanto, se você configurar um servidor apache httpd na frente e forçar as restrições, não será necessário mexer com o weblogic e não precisará se preocupar em atualizar o java e o weblogic trimestralmente quando houver atualizações de segurança ou atualizações críticas.
Adição:
-
O patch de segurança para o weblogic não termina apenas com o weblogic, mas também tem que ser feito com o java. Mas para o apache, você nem sempre precisa atualizar o apache, apenas o mod openssl e openssl do qual ele depende. Este processo torna muito simples o patch de segurança.
-
O Apache tem várias opções de configuração que você pode usar para limitar as cifras.
SSLProtocol: Permite-lhe especificar manualmente as Cifras ou removê-las.
SSLCipherSuite: Permite escolher o conjunto de criptografia que você deseja permitir. Também tem a opção de permitir que você diga + ALTA + MÉDIA + BAIXA para conjunto de criptografia de alta e baixa intensidade, conforme definido pelo openssl. Você também pode dizer @STRENGTH e o cliente se conectará ao servidor com a combinação mais strong de protocolo de criptografia com a qual pode realizar um handshake.
O crème de la crème são as opções de registro disponíveis para você por SSL e quaisquer outros requisitos gerais que você gostaria de usar para solucionar problemas.
Mais sobre isso aqui:
Nota: o OpenSSL e o apache são amplamente suportados e testados por especialistas e é uma espécie de padrão não-escrito para tê-lo (servidor http) como o aplicativo voltado para a Internet, em vez de qualquer aplicativo baseado em Java.