サーバーによって選択されたデフォルトの暗号スイート
Weblogicアプリケーションサーバーがあります。 Webブラウザーが要求を送信するたびに、トンネル作成プロセスの一部として、優先暗号スイートのリストが送信されます。
質問:
WLサーバーによって選択された暗号スイートまたはデフォルトの暗号であるかどうかを確認するにはどうすればよいですか? Fiddlerを使用してその詳細を取得できることはわかっています。また、ブラウザのHTTPSロックアイコンを右クリックして取得することもできます。 しかし、Weblogicサーバーの側から、どの暗号スイートが選択されたかを知りたいのですが、それはいくつかのWeblogic環境で定義されていますか
.shファイル?。Weblogicで暗号の優先度を変更する方法はありますか?私はいくつかの調査を行い、見つけることができました-
Dweblogic.security.SSL.Ciphersuites=TLS_RSA_WITH_AES_256_CBC_SHA256"。上記の暗号を使用するようにWeblogicを構成し、これがブラウザから送信される暗号スーツリストに存在しない場合はどうなりますか?私の考えでは、トンネルの確立は失敗し、接続が拒否されたり失敗したりするなどのエラーがクライアント/ブラウザに表示されます。
これらの答えがApacheの観点からも提供できれば、私は大いに義務づけられます。
いくつかの質問に光を当てることができると思います
Weblogicは、使用しているセキュリティのタイプ(JSSEかどうか)に基づいてデフォルトの暗号スイートを使用します。これはバージョンごとに異なります。たとえば、10.3.0は10.3.6とはまったく異なるスイートを使用します。あなたはあなたのバージョンに基づいてそれを調べる必要があるでしょう。これを確認するには、コンソールでSSLデバッグを有効にしてみてください。そうすると、すべての接続の詳細が表示されます。
- SSL.Ciphersuitesは、webloigcが使用する暗号を制限する方法です。 TLS_RSA_WITH_AES_256_CBC_SHA256を使用する場合、左から右に暗号を使用してハンドシェイクを試みます。上記のアルゴリズムが不足すると、SSL接続が拒否されます。これは厳格な施行です。
その中で暗号スイートを設定するWebフロントエンドエンドとしてApacheを使用することをお勧めします。その単純さがわかります。追加のボーナスとして、@ STRENGTHに設定すると、最強のアルゴリズムから最弱のアルゴリズムへのハンドシェイクが試行されます。
したがって、Apache httpdサーバーを前にセットアップし、そこで制限を強制する場合、weblogicをいじる必要はなく、セキュリティ更新がある場合は四半期ごとにJavaおよびweblogicをアップグレードする必要はありません。または重要な更新。
追加:
Weblogicのセキュリティパッチはweblogicだけで終わるのではなく、Javaでも行う必要があります。ただし、Apacheの場合、必ずしもApacheを更新する必要はなく、opensslとopensslmodだけを更新する必要があります。このプロセスにより、セキュリティパッチの適用が非常に簡単になります。
Apacheには、暗号を制限するために使用できる一連の構成オプションがあります。
SSLProtocol:暗号を手動で指定または削除できます。
SSLCipherSuite:許可する暗号スイートを選択できます。また、opensslで定義されている高低強度の暗号スイートに対して+ HIGH + MEDIUM + LOWと言うこともできます。 @STRENGTHと言うこともできます。クライアントは、ハンドシェイクを実行できる最も強力な暗号とプロトコルの組み合わせでサーバーに接続します。
crèmedelacrèmeは、SSLおよびトラブルシューティングに使用するその他の汎用要件に使用できるログオプションです。
ここでそれらの詳細:
https://www.openssl.org/docs/manmaster/apps/ciphers.html
http://httpd.Apache.org/docs/2.4/ssl/ssl_howto.html
注:OpenSSLとApacheは専門家によって広くサポートおよびテストされており、Javaベースのアプリケーションではなく、インターネット向けアプリケーションとしてそれ(httpサーバー)を使用するための未作成の標準の一種です。