web-dev-qa-db-ja.com

Windowsでは無効になっていますが、アプリケーションでは3DESがサポートされています

Windowsのレジストリキーで3DES暗号が無効になっている場合、ユーザーは実際に3DES暗号を使用してTomcat Webサーバーに接続できますか:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\Triple DESクライアントとサーバーの両方で、dwordが有効0、dwordがデフォルトで無効1

Nmapスキャンは、暗号がまだ利用可能であることを示し、Qualys脆弱性スキャンも同様です。

   TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA (dh 1024) - D
   TLS_DHE_RSA_WITH_AES_128_CBC_SHA (dh 1024) - A
   TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA (secp256r1) - C
   TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A

他のWindowsサーバーでTLS 1.0を無効にするために同じ方法を使用しました。これは正常に機能し、NmapとQualysの両方が確認しています。

Windowsは暗号を提供しませんが、Webサーバーでも3DES暗号を無効にする必要がありますか?

2
QuantumSec

これは、Tomcat構成の質問のように聞こえ始めています。 Tomcatに関する個人的な経験はありませんが、一部のリンクは、Tomcatドキュメントガイドの このセクション 、特に構成ファイルのciphers属性が適切に見えると示唆していますconf/server.xml。ドキュメントから:

ciphers属性:

OpenSSL構文の使用を有効にする暗号。 (サポートされる暗号のリストと構文については、OpenSSLのドキュメントを参照してください)。あるいは、標準のOpenSSL暗号名または標準のJSSE暗号名を使用する暗号のコンマ区切りリストを使用することもできます。

OpenSSL構文からJSSEベースのコネクターのJSSE暗号に変換する場合、OpenSSL構文解析の動作は、OpenSSL 1.1.0開発ブランチの動作に合わせて維持されます。

SSL実装でサポートされている暗号のみが使用されます。

指定しない場合、デフォルトの(OpenSSL表記を使用した)HIGH:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!kRSAが使用されます。

デフォルトでは、暗号が定義されている順序が優先順位として扱われることに注意してください。 honorCipherOrderを参照してください。

これで、必要なものを指定する方法が用意されました。実際には、OpenSSL構文またはJSSE暗号スイートリストの2つの方法があり、それぞれに長所と短所があります。

OpenSSL構文はコンパクトな仕様を提供します。これにより、実行することに加えて、したくないことを指定できます。不利な点は、簡潔な表記法を使用すると、取得しているものだけを理解することが困難になることです。

JSSE ciphersuite構文は非常に単純です。 this (ここで= ここではJava 11 )の長いリストをカンマで区切って、許可された暗号スイートをそれぞれ明示的にリストします。欠点は、時間の経過とともに新しい暗号が追加されるので、それらを使用できるようにするには、このリストに追加する必要があります。