spring-boot - SpringBoot CBC ciphersuite 和 logjam 漏洞
问题描述
我已经在 Springboot 中配置了密码套件:
我在配置文件中的配置是:
server:
ssl:
key-store: /etc/keystore.keystore
key-store-password: password
key-alias: default
trust-store: /etc/truststore.jks
trust-store-password: secret
enabled: true
client-auth: need
protocol: TLS
enabled-protocols: TLSv1.2
ciphers: ECDHE-RSA-AES128-GCM-SHA256,ECDHE-ECDSA-AES128-GCM-SHA256,ECDHE-RSA-AES256-GCM-SHA384,ECDHE-ECDSA-AES256-GCM-SHA384,DHE-RSA-AES128-GCM-SHA256,DHE-DSS-AES128-GCM-SHA256,kEDH+AESGCM,ECDHE-RSA-AES128-SHA256,ECDHE-ECDSA-AES128-SHA256,ECDHE-RSA-AES128-SHA,ECDHE-ECDSA-AES128-SHA,ECDHE-RSA-AES256-SHA384,ECDHE-ECDSA-AES256-SHA384,ECDHE-RSA-AES256-SHA,ECDHE-ECDSA-AES256-SHA,DHE-RSA-AES128-SHA256,DHE-RSA-AES128-SHA,DHE-DSS-AES128-SHA256,DHE-RSA-AES256-SHA256,DHE-DSS-AES256-SHA,DHE-RSA-AES256-SHA,!aNULL,!eNULL,!EXPORT,!DES,!RC4,!3DES,!MD5,!PSK
我尝试了在互联网上找到的所有密码套件,但我总是有相同的,例如:“总体评级 B”
使用页面:https ://www.ssllabs.com/ssltest/index.html
TLS 1.2 (suites in server-preferred order)
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f) ECDH sect571r1 (eq. 15360 bits RSA) FS 128
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030) ECDH sect571r1 (eq. 15360 bits RSA) FS 256
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 (0x9e) DH 1024 bits FS WEAK 128
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 (0x9f) DH 1024 bits FS WEAK 256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (0xc027) ECDH sect571r1 (eq. 15360 bits RSA) FS WEAK 128
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (0xc013) ECDH sect571r1 (eq. 15360 bits RSA) FS WEAK 128
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (0xc028) ECDH sect571r1 (eq. 15360 bits RSA) FS WEAK 256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (0xc014) ECDH sect571r1 (eq. 15360 bits RSA) FS WEAK 256
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 (0x67) DH 1024 bits FS WEAK 128
TLS_DHE_RSA_WITH_AES_128_CBC_SHA (0x33) DH 1024 bits FS WEAK 128
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 (0x6b) DH 1024 bits FS WEAK 256
TLS_DHE_RSA_WITH_AES_256_CBC_SHA (0x39) DH 1024 bits FS WEAK 256
我有一份包含以下漏洞的报告:
CBC inseguro
Logjam
我已经尝试了互联网上的所有解决方案,但我得到了相同的结果。
环境是在 Ubuntu 中使用 Springboot 2,(没有 apache 或 tomcat,...)仅使用 Spring 的嵌入 tomcat。
有可能解决那个问题。
谢谢...
解决方案
您可以尝试使用 AES_128 加密禁用密码,我认为这应该会提高您的分数,因为您没有像 DSA 或 DES 这样的弱密钥交换算法,所以只有这一点会浮现在脑海中。
推荐阅读
- django - 使用 Django Rest Framework 实现 MVC 模式
- c - 如何修复 c 中的分段错误(代码转储)。我不知道错在哪里
- javascript - 将元素添加到 results.items
- reactjs - 请求反应挂钩后更新列表
- javascript - 如何更改输入的值以触发 onChange 事件?
- python - 创建进化系统
- python - 使用 Windows Heroku 找不到 Web 进程 procfile 错误
- powershell - 用于解压缩文件的powershell日期动态
- react-native - 使用 react-redux 时,“路由''的组件必须是 React 组件”
- excel - VLOOKUP 和 MATCH 函数用于从 Excel 中的表中提取数据。我可以在多个单元格中使用相同的功能吗?