Suporte a SSL do Weblogic: 12C deixou cair o suporte SHA1?

1

Estamos trabalhando com uma organização que executa o Weblogic 10.3. Quando atualizamos para um certificado SHA2, eles não conseguiam mais se comunicar com o endpoint REST. (Nós tivemos que voltar para o SHA1, o que é difícil de conseguir hoje em dia!)

Eles estão planejando uma atualização para o Weblogic 12 (eu acho que é "12C"), e eles relatam que não serão capazes de suportar SHA1 naquele momento, forçando-nos a migrar certificados ao mesmo tempo (o que parece como pedir problemas).

Isso soa bem?

(IOW: Existe uma maneira simples de suportar o SHA2 / 256 no 10.3? Existe uma maneira simples de suportar o SHA1 no 12C?)

    
por samsmith 11.06.2015 / 21:08

2 respostas

1

A Microsoft e o Google anunciaram planos de desaprovação do SHA-1 que podem afetar sites com certificados SHA-1 que expirarem em 31 de dezembro de 2015.

Os certificados podem ser criados com diferentes 'algoritmos hash', incluindo

1) SHA1: um hash de 160 bits

2) SHA2: uma família de duas funções hash similares com diferentes tamanhos de bloco, conhecidas como SHA-256 e SHA-512 (este é um algoritmo mais novo)

Até recentemente, somente o algoritmo SHA1 era suportado pelo WebLogic. Mas a partir do WebLogic 10.3.3, o algoritmo SHA2 também é suportado.

Se você deseja usar um certificado com um algoritmo de hash SHA2, será necessário ativar o JSSE SSL (que confia em certificados mais strongs, como o SHA2)

A Oracle recomenda enfaticamente que você atualize para o WebLogic Maintenence Pack mais recente e para o patch JDK mais recente, pois há alguns problemas conhecidos com JSSE SSL e pacotes de manutenção WebLogic mais baixos e patches Java. Você deve estar usando o WebLogic 10.3.6 no mínimo

Você pode verificar as Perguntas Frequentes sobre Certificados SSL no WebLogic na documentação oficial acima no Oracle Metalink (support.oracle.com)

O SHA2 (SHA256 etc.) é suportado pelo weblogic 11g (10.3.6), mas os certificados funcionarão apenas com a implementação do JSSE (-Dweblogic.security.SSL.enableJSSE = true).

Certificados SHA2 e Ciphersuites são suportados no WLS 12.1.X nas seguintes circunstâncias:

WLS 12.1.1 com JDK 7 e JSSE ativado usando o provedor Sun JSSE do JDK (padrão) ou o provedor RSA JSSE WLS 12.1.1 com JDK 6 e JSSE ativados usando o provedor RSA JSSE WLS 12.1.2 (ou posterior) com JDK 7 (ou posterior) e JSSE ativado usando o provedor Sun JSSE do JDK (padrão) ou o provedor RSA JSSE

Se você estiver na versão inferior a 10.3.6, poderá usar o apache / OHS, que atuará como proxy reverso na frente de todo o ambiente. O proxy reverso atua como um terminador SSL para conexões de clientes usando os mais recentes certificados SSL SHA-2.

Verifique abaixo link

link

    
por 13.06.2015 / 16:21
-1

10.3.3 e superior suporta o sha2, o weblogic anterior não o suporta. Mesmo assim, a partir do 10.3.3 você precisa adicionar seus arquivos .jar de força ilimitada para sua versão do java para suportá-lo, e provavelmente habilitar o JSSE SSL para cada servidor weblogic.

    
por 04.09.2015 / 14:52

Tags