ADVERTENCIA: Ninguno de los cifrados especificados es compatible con el motor SSL

tag-icon tag-icon ssl tomcat tls tomcat7
ADVERTENCIA: Ninguno de los cifrados especificados es compatible con el motor SSL

Tengo un servicio web en funcionamiento ejecutándose Apache Tomcat 7con el siguiente elemento conector en server.xml:

<Connector port="443" protocol="org.apache.coyote.http11.Http11Protocol" 
 SSLEnabled="true" 
 maxThreads="150"
 scheme="https" 
 secure="true" 
 clientAuth="false"  
 keystoreFile="C:\Java\myhost.keystore" 
 keystorePass="importkey" 
 sslProtocol="TLS"
/>

Esto ha funcionado bien durante años, pero ahora Logjamsurgió una nueva amenaza de seguridad y estoy intentando proteger mi servicio web mediante elGuía para implementar Diffie-Hellman para TLSinstrucciones.

Entonces, agregué la siguiente línea al <connector>elemento:

cifrados="ECDHE-RSA-AES128-GCM-SHA256, ECDHE-ECDSA-AES128-GCM-SHA256, ECDHE-RSA-AES256-GCM-SHA384, ECDHE-ECDSA-AES256-GCM-SHA384, DHE-RSA-AES128-GCM -SHA256, DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE -RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA, ECDHE-ECDSA-AES256-SHA, DHE-RSA-AES128-SHA256, DHE-RSA-AES128-SHA, DHE-DSS -AES128-SHA256, DHE-RSA-AES256-SHA256, DHE-DSS-AES256-SHA, DHE-RSA-AES256-SHA, AES128-GCM-SHA256, AES256-GCM-SHA384, AES128-SHA256, AES256-SHA256, AES128 -SHA, AES256-SHA, AES, CAMELIA, DES-CBC3-SHA"

Tomcat se reinicia bien, pero ya no puedo conectarme a mi servicio web.

Al examinar el registro, noté esta línea:

ADVERTENCIA: Ninguno de los cifrados especificados es compatible con el motor SSL: ECDHE-RSA-AES128-GCM-SHA256, ECDHE-ECDSA-AES128-GCM-SHA256, ECDHE-RSA-AES256-GCM-SHA384, ECDHE-ECDSA-AES256- GCM-SHA384, DHE-RSA-AES128-GCM-SHA256, DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128- SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA, ECDHE-ECDSA-AES256-SHA, DHE-RSA-AES128-SHA256, DHE-RSA-AES128-SHA, DHE-DSS-AES128-SHA256, DHE-RSA-AES256-SHA256, DHE-DSS-AES256-SHA, DHE-RSA-AES256-SHA, AES128-GCM-SHA256, AES256-GCM- SHA384, AES128-SHA256, AES256-SHA256, AES128-SHA, AES256-SHA, AES, CAMELIA, DES-CBC3-SHA

¿Qué me falta al intentar que Tomcat utilice sólo estos cifrados?

¿Cómo hago para que sean compatibles con el motor SSL?

Respuesta1

Como se explicaaquíes posible que tengas que configurar la cipherslista de esta manera:

sslProtocols = "TLS"
ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_RC4_128_SHA,
TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,
TLS_RSA_WITH_AES_25‌​6_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA,SSL_RSA_WITH_RC4_128_SHA"

La primera parte, ECDHE, especifica qué algoritmo de intercambio de claves se debe utilizar. [...]

El siguiente es el algoritmo de autenticación, RSA. [...]

El cifrado masivo, AES128-GCM, es el algoritmo de cifrado principal y se utiliza para cifrar todo el tráfico. [...]

La última parte, SHA256, identifica el resumen de mensajes en uso, que verifica la autenticidad de los mensajes.

información relacionada