java - 我如何在 WildFly 8 中获得更多可用的密码套件

Question

由于 Logjam攻击我不得不重新访问我可用的密码套件。我使用 WildFly 8.2 和 Java 7 u67。我用 sslscan测试可用的密码套件。最初我有这个可用:

然后我安装了 Java Cryptography Extension (JCE) Unlimited Strength Jurisdiction Policy Files 7 还有两个可用的:

然后我不得不移除 RC4 和 DHE(由于 Logjam)，我只剩下两个:

我觉得两个有点low。然后我在 Mozilla website 上看到在 OpenSSL website 上有很多可用的密码套件。

我如何才能在我的环境中获得更多的密码套件(WildFly 8.2 + Java7)以及我的服务器至少应该提供多少密码套件？

Answer 1

Markus Eisele 在这里写了一篇关于使用 WFLY 配置 SSL 的文章: http://blog.eisele.net/2015/01/ssl-with-wildfly-8-and-undertow.html

可以在 http-listener 上配置额外的密码套件:

<https-listener name="https" socket-binding="https" security-realm="SSLRealm"
                    enabled-protocols="TLSv1.2"
                    enabled-cipher-suites="TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,..."/>

可以从这里获取推荐的密码套件列表: https://weakdh.org/sysadmin.html

密码的默认名称和 Java/WFLY 中的语法不同，WFLY JIRA 中存在与此相关的问题，但 AFAICT 仍未解决: https://issues.jboss.org/browse/WFLY-3330

Java 8 的默认列表在这里: https://docs.oracle.com/javase/8/docs/technotes/guides/security/SunProviders.html

另见: What is the correct JBoss EAP 6.0.1 cipher-suite configuration for mitigation of Logjam / weakdh.org?