Nosso relatório de auditoria de segurança diz que vários dos nossos servidores do JBoss EAP 5.0 (no RHEL 6.x) têm cifras fracas habilitadas. Ao fazer uma pesquisa, eu encontrei um arquivo .jar
(de link ) que, quando executado a partir do servidor, lista o conjuntos de criptografia padrão e suportados. Eu corri o arquivo .jar
obtido a seguinte saída na seção de conjuntos de cifras padrão:
DefaultCipherSuites:
SSL_RSA_WITH_RC4_128_MD5
SSL_RSA_WITH_RC4_128_SHA
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_DHE_RSA_WITH_AES_128_CBC_SHA
TLS_DHE_RSA_WITH_AES_256_CBC_SHA
TLS_DHE_DSS_WITH_AES_128_CBC_SHA
TLS_DHE_DSS_WITH_AES_256_CBC_SHA
SSL_RSA_WITH_3DES_EDE_CBC_SHA
SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA
SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA
SSL_RSA_WITH_DES_CBC_SHA
SSL_DHE_RSA_WITH_DES_CBC_SHA
SSL_DHE_DSS_WITH_DES_CBC_SHA
SSL_RSA_EXPORT_WITH_RC4_40_MD5
SSL_RSA_EXPORT_WITH_DES40_CBC_SHA
SSL_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA
SSL_DHE_DSS_EXPORT_WITH_DES40_CBC_SHA
TLS_EMPTY_RENEGOTIATION_INFO_SCSV
Eu entendo que cifras fracas são aquelas que tem seu comprimento de chave menor que 128 bits. E isso de todas as cifras listadas acima:
Estou ciente de como editar o bloco do Conector SSL / TLS em server.xml
para habilitar apenas alguns dos conjuntos de criptografia.
O meu entendimento sobre o relacionamento entre os nomes de criptografia e os comprimentos de bits suportados está correto?
Se a resposta da minha pergunta # 1 for 'sim', 'desabilitar todas as cifras fracas' significa remover / desativar todas as cifras que têm DES, RC4_40 e DES40 em seus nomes?
Qual é o tamanho da chave de TLS_EMPTY_RENEGOTIATION_INFO_SCSV?