SSL3を無効にし、使用可能な暗号を推奨セットに制限しましたが、WindowsXPでIE8を使用してサーバーにアクセスできなくなりました。すべての暗号を許可すると、IE8を使用して接続できますが、制限された暗号のセットを指定すると接続できません。適切な暗号を追加する必要があるように思えます。そうすれば、IE8は正常に機能します。
すべての暗号を有効にしてIE8を使用してサイトにアクセスすると、接続がTLS 1.0、128ビット暗号化のRC4、およびRSAを使用していることがわかります。
この暗号を追加してみました:TLS_RSA_WITH_RC4_128_SHA
。しかし、Tomcat/Javaがそれを認識したとは思いません。
私のコネクタは次のようになります。
<Connector port="443" protocol="org.Apache.coyote.http11.Http11Protocol"
maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS" sslEnabledProtocols="TLSv1.2,TLSv1.1,TLSv1" keystoreFile="C:\somewhere\my.keystore"
ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_RC4_128_SHA,
TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,
TLS_RSA_WITH_AES_256_CBC_SHA" />
私はTomcat7を使用しており、Java 6
これは赤いニシンかもしれませんが、私はJava 6によってこれらに制限されていると思うので、 これらの暗号スイート を参照しています。さらに私は暗号を参照する このドキュメント (30ページ)は、IE8 on XPがサポートしています。残念ながら、2セットの暗号の間に一致するものが見つかりません。
XPのIE8ブラウザーは、これらの暗号スイートのみをサポートしているようです。
これらすべてを含むようにTomcatの暗号を更新しましたが、それでも接続できません。
ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_RC4_128_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_RC4_128_MD5,TLS_RSA_WITH_RC4_128_SHA,TLS_RSA_WITH_3DES_EDE_CBC_SHA,TLS_RSA_WITH_DES_CBC_SHA,TLS_RSA_EXPORT1024_WITH_RC4_56_SHA,TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA,TLS_RSA_EXPORT_WITH_RC4_40_MD5,TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5,TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA,TLS_DHE_DSS_WITH_DES_CBC_SHA,TLS_DHE_DSS_EXPORT1024_WITH_DES_CBC_SHA"
すべての暗号を有効にして接続できる理由はわかりませんが、ブラウザでサポートされているすべての暗号を指定しても接続できません
SSL_RSA_WITH_RC4_128_SHA
は機能するはずです-これは用語の違いにすぎません。名前にTLSが含まれているのは、TLSを必要とするJava 6)の暗号だけです。暗号仕様は、名前に関係なく、SSLだけでなくTLSでも機能します。
有効なプロトコルはsslEnabledProtocols="TLSv1.2,TLSv1.1,TLSv1"
で制御されるため、この構成では、SSLv3接続を拒否しながらXPでIE8からの接続を許可する必要があります。
openssl s_client -ssl3 -connect example.com:443
を使用したSSLv3接続を受け入れていないことを確認します。