web-dev-qa-db-ja.com

CentOS 6.7のopenjdk-1.8.0でECDHEを有効にする方法は?

ECDHEがSunECプロバイダーでopenjdk-1.6.0に戻って入手できることを示唆する多くの投稿を見てきました。私の環境:CentOS 6.7、openjdk 1.8.0.71-1.b15.el6_7。 ECDHEはありません。

Jre/lib/security/Java.securityに2つの変更を加えました。-security.provider.3 = Sun.security.ec.SunECを追加し、残りのプロバイダーを4、5、6などに減らします。 -jdk.tls.disabledAlgorithms = SSLv3、RC4、MD5withRSA、DH keySize <768、つまり無効なリストからEC、ECDHE、ECDHを削除。

何も変更しませんでした。 ECDHEをopenjdkで動作させるにはどうすればよいですか?ちなみに、Bouncy Castleについて聞いたことがありますが、openjdkがECDHEをサポートしていれば、hopefullはそのように進む必要はありません。

4
Simon

RedHat、したがってCentOSが削除されましたOpenJDKだけでなく、多くのパッケージからEC暗号しかし、少なくともOpenSSL OpenSSH NSS、2013年後半まで。それを復元することは、段階的で段階的です。

https://bugzilla.redhat.com/show_bug.cgi?id=1208307 は、openjdk-1.8.0が91-1.b14.el6によって修正されていることを示しています https://rhn.redhat.com/errata/RHEA-2016-0816.html -しかし、上流のSunECではなくNSSを使用しています。私のCentOS 6.7は101-3.b13が利用可能であることを示していますが、(再)テストする時間がありませんでした。

1

私は最近同じことを経験しているので、これに私の考えを付け加えたかっただけです。

SunECでECDHEを取得しようとする私の試みはすべてかなり失敗しているので、Bouncy Castleを使用することを強くお勧めします。プロバイダーjarをJRE/JDK extフォルダーに追加し、セキュリティプロバイダーをJavaセキュリティファイルとブームで変更するだけで、準備が整いました。

2
Akimata