AVISO: Nenhuma das cifras especificadas é suportada pelo mecanismo SSL

tag-icon tag-icon ssl tomcat tls tomcat7
AVISO: Nenhuma das cifras especificadas é suportada pelo mecanismo SSL

Eu tenho um serviço da web em funcionamento Apache Tomcat 7com o seguinte elemento conector em server.xml:

<Connector port="443" protocol="org.apache.coyote.http11.Http11Protocol" 
 SSLEnabled="true" 
 maxThreads="150"
 scheme="https" 
 secure="true" 
 clientAuth="false"  
 keystoreFile="C:\Java\myhost.keystore" 
 keystorePass="importkey" 
 sslProtocol="TLS"
/>

Isso tem funcionado bem há anos, mas agora Logjamsurgiu uma nova ameaça à segurança e estou tentando proteger meu serviço web, usando oGuia para implantação do Diffie-Hellman para TLSinstruções.

Então, adicionei a seguinte linha ao <connector>elemento:

cifras = "ECDHE-RSA-AES128-GCM-SHA256, ECDHE-ECDSA-AES128-GCM-SHA256, ECDHE-RSA-AES256-GCM-SHA384, ECDHE-ECDSA-AES256-GCM-SHA384, DHE-RSA-AES128-GCM -SHA256, DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE -RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA, ECDHE-ECDSA-AES256-SHA, DHE-RSA-AES128-SHA256, DHE-RSA-AES128-SHA, DHE-DSS -AES128-SHA256, DHE-RSA-AES256-SHA256, DHE-DSS-AES256-SHA, DHE-RSA-AES256-SHA, AES128-GCM-SHA256, AES256-GCM-SHA384, AES128-SHA256, AES256-SHA256, AES128 -SHA, AES256-SHA, AES, CAMÉLIA, DES-CBC3-SHA"

O Tomcat reinicia corretamente, mas não consigo mais me conectar ao meu serviço da web.

Ao examinar o log, notei esta linha:

AVISO: Nenhuma das cifras especificadas é suportada pelo mecanismo SSL: ECDHE-RSA-AES128-GCM-SHA256, ECDHE-ECDSA-AES128-GCM-SHA256, ECDHE-RSA-AES256-GCM-SHA384, ECDHE-ECDSA-AES256- GCM-SHA384, DHE-RSA-AES128-GCM-SHA256, DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128- SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA, ECDHE-ECDSA-AES256-SHA, DHE-RSA-AES128-SHA256, DHE-RSA-AES128-SHA, DHE-DSS-AES128-SHA256, DHE-RSA-AES256-SHA256, DHE-DSS-AES256-SHA, DHE-RSA-AES256-SHA, AES128-GCM-SHA256, AES256-GCM- SHA384, AES128-SHA256, AES256-SHA256, AES128-SHA, AES256-SHA, AES, CAMÉLIA, DES-CBC3-SHA

O que estou perdendo ao tentar fazer com que o Tomcat use apenas essas cifras?

Como posso torná-los suportados pelo mecanismo SSL?

Responder1

Como explicadoaquivocê pode ter que definir a cipherslista assim:

sslProtocols = "TLS"
ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_RC4_128_SHA,
TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,
TLS_RSA_WITH_AES_25‌​6_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA,SSL_RSA_WITH_RC4_128_SHA"

A primeira parte, ECDHE, especifica qual algoritmo de troca de chaves deve ser usado. [...]

O próximo é o algoritmo de autenticação, RSA. [...]

A cifra em massa, AES128-GCM, é o principal algoritmo de criptografia e é usada para criptografar todo o tráfego. [...]

A última parte, SHA256, identifica o resumo da mensagem em uso, que verifica a autenticidade das mensagens.

informação relacionada