Estou tentando especificar quais conjuntos de criptografia devem ser usados na configuração do meu Tomcat, assim:
<Connector
port="9443"
protocol="org.apache.coyote.http11.Http11Protocol"
enableLookups="false"
SSLEnabled="true"
scheme="https"
secure="true"
clientAuth="want"
keystoreFile="{omitted}"
SSLImplementation="edu.internet2.middleware.security.tomcat6.DelegateToApplicationJSSEImplementation"
sslEnabledProtocols = "TLSv1,TLSv1.1,TLSv1.2"
ciphers="TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256,
TLS_DHE_DSS_WITH_AES_128_GCM_SHA256,
TLS_ECDHE_RSA_WITH_AES_128_SHA256,
TLS_ECDHE_ECDSA_WITH_AES_128_SHA256,
TLS_ECDHE_RSA_WITH_AES_128_SHA,
TLS_ECDHE_ECDSA_WITH_AES_128_SHA,
TLS_ECDHE_RSA_WITH_AES_256_SHA384,
TLS_ECDHE_ECDSA_WITH_AES_256_SHA384,
TLS_ECDHE_RSA_WITH_AES_256_SHA,
TLS_ECDHE_ECDSA_WITH_AES_256_SHA,
TLS_DHE_RSA_WITH_AES_128_SHA256,
TLS_DHE_RSA_WITH_AES_128_SHA,
TLS_DHE_DSS_WITH_AES_128_SHA256,
TLS_DHE_RSA_WITH_AES_256_SHA256,
TLS_DHE_DSS_WITH_AES_256_SHA,
TLS_DHE_RSA_WITH_AES_256_SHA"
/>
No entanto, ao verificar o servidor com o Qualy SSL Labs, obtenho o limite F da classe F para fornecer suporte a cifras inseguras, como
TLS_DHE_RSA_WITH_AES_128_CBC_SHA (0x33)
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 (0x67)
TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA (0x16)
etc.
Essas suítes não aparecem no atributo ciphers do conector e não tenho ideia de onde elas são tiradas. Alguma sugestão sobre por que a lista de cifras do elemento conector parece ser ignorada?
A versão do Tomcat é a 6.0.24.
Atualização : Ainda mais interessante, a Qualys afirma que um possível conjunto de criptografia é
TLS_RSA_WITH_RC4_128_MD5
embora isso não apareça nos documentos listando as suítes disponíveis.
Tags tomcat6