时间戳

首页 > 解决方案 > SpringBoot CBC ciphersuite 和 logjam 漏洞

spring-boot - SpringBoot CBC ciphersuite 和 logjam 漏洞

问题描述

我已经在 Springboot 中配置了密码套件:

我在配置文件中的配置是:

server:
  ssl:
    key-store: /etc/keystore.keystore
    key-store-password: password
    key-alias: default
    trust-store: /etc/truststore.jks
    trust-store-password: secret
    enabled: true
    client-auth: need
    protocol: TLS
    enabled-protocols: TLSv1.2
    ciphers: ECDHE-RSA-AES128-GCM-SHA256,ECDHE-ECDSA-AES128-GCM-SHA256,ECDHE-RSA-AES256-GCM-SHA384,ECDHE-ECDSA-AES256-GCM-SHA384,DHE-RSA-AES128-GCM-SHA256,DHE-DSS-AES128-GCM-SHA256,kEDH+AESGCM,ECDHE-RSA-AES128-SHA256,ECDHE-ECDSA-AES128-SHA256,ECDHE-RSA-AES128-SHA,ECDHE-ECDSA-AES128-SHA,ECDHE-RSA-AES256-SHA384,ECDHE-ECDSA-AES256-SHA384,ECDHE-RSA-AES256-SHA,ECDHE-ECDSA-AES256-SHA,DHE-RSA-AES128-SHA256,DHE-RSA-AES128-SHA,DHE-DSS-AES128-SHA256,DHE-RSA-AES256-SHA256,DHE-DSS-AES256-SHA,DHE-RSA-AES256-SHA,!aNULL,!eNULL,!EXPORT,!DES,!RC4,!3DES,!MD5,!PSK

我尝试了在互联网上找到的所有密码套件,但我总是有相同的,例如:“总体评级 B”

使用页面:https ://www.ssllabs.com/ssltest/index.html

 TLS 1.2 (suites in server-preferred order)
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f)   ECDH sect571r1 (eq. 15360 bits RSA)   FS   128
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030)   ECDH sect571r1 (eq. 15360 bits RSA)   FS   256
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 (0x9e)   DH 1024 bits   FS   WEAK   128
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 (0x9f)   DH 1024 bits   FS   WEAK   256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (0xc027)   ECDH sect571r1 (eq. 15360 bits RSA)   FS   WEAK    128
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (0xc013)   ECDH sect571r1 (eq. 15360 bits RSA)   FS   WEAK   128
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (0xc028)   ECDH sect571r1 (eq. 15360 bits RSA)   FS   WEAK    256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (0xc014)   ECDH sect571r1 (eq. 15360 bits RSA)   FS   WEAK   256
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 (0x67)   DH 1024 bits   FS   WEAK   128
TLS_DHE_RSA_WITH_AES_128_CBC_SHA (0x33)   DH 1024 bits   FS   WEAK  128
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 (0x6b)   DH 1024 bits   FS   WEAK   256
TLS_DHE_RSA_WITH_AES_256_CBC_SHA (0x39)   DH 1024 bits   FS   WEAK  256

我有一份包含以下漏洞的报告:

CBC inseguro

Logjam

我已经尝试了互联网上的所有解决方案,但我得到了相同的结果。

环境是在 Ubuntu 中使用 Springboot 2,(没有 apache 或 tomcat,...)仅使用 Spring 的嵌入 tomcat。

有可能解决那个问题。

谢谢...

标签: spring-bootsecurityspring-security

解决方案

您可以尝试使用 AES_128 加密禁用密码,我认为这应该会提高您的分数,因为您没有像 DSA 或 DES 这样的弱密钥交换算法,所以只有这一点会浮现在脑海中。

推荐阅读