我们在 tomcat 6 中托管我们的应用程序。现在已经使用了 SSL,我们需要将其迁移到 TLS 1.2。作为这些事情的新手,请求您的帮助以解决以下问题。 1. 迁移到 TLS 1.2 有什么好处? 2. 挑战是什么? 3、服务器层面和网络层面需要做哪些改变?
最佳答案
这是一个相当广泛的问题,但我会尽量快速回答。
- What are the advantages if we migrate to TLSv1.2
您可能有迁移到 TLSv1.2 的监管要求。 (例如 PCI-DSS、HIPAA/HITECH 等),但还有一个更好的理由:如果支持更高版本的协议(protocol),安全性会得到整体提升。最好完全禁用 SSLv3 并只使用 TLSv1 及更高版本。如果你有一个用户社区,他们的软件通常都是最新的,那么你很可能会转向 TLSv1.2,甚至不必为较低的协议(protocol)烦恼。您绝对可以通过单一配置支持所有 TLSv1、TLSv1.1 和 TLSv1.2。
规范的更高版本允许使用更好的密码套件,包括具有临时 key 协议(protocol) (EDHE) 的密码套件以及要使用的更高效的椭圆曲线 (EC) 算法。这些密码套件提供更好的隐私和安全性(例如前向安全性)以及更好的性能(EC 对于相同“级别”的加密比例如 RSA 更快)。
- What are the challenges?
为了支持 TLSv1.2,您可能需要将 JRE 升级到 Java 1.7 或更高版本。我认为此时您应该使用 Java 1.8,无论如何。
Tomcat 将使用 JRE 支持的任何算法和协议(protocol),但默认配置(例如 Tomcat 6)可能需要您稍微更改配置以启用更好的协议(protocol)并禁用较旧的、安全性较低的协议(protocol)。
3a. What changes need to be done at the server level?
基本上,您需要禁用 SSLv3 并通过 TLSv1.2 启用所有内容。实际上,这意味着您的 <Connector>配置应如下所示:
<Connector sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2" [...]
3b. What changes need to be done at the network level?
完全没有。
关于tomcat - 在 Tomcat 中从 SSL 迁移到 TLS 1.2 的挑战和优势,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/44105698/