7块IE8我已经配置了的Tomcat 7(JDK 7)服务器为仅接受TLS(1,1.1 & 1.2)协议,以解决贵宾犬。我也禁用了所有DH密码套件以实现PCI DSS合规性。贵宾犬配置为Tomcat上XP
很不幸,这阻止IE8浏览器的所有请求(在XP)。有没有人解决了这个问题。
IE8似乎支持以下非弱密码: TLS_RSA_WITH_RC4_128_MD5 TLS_RSA_WITH_RC4_128_SHA TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA
但是JDK 7中没有。
任何帮助表示赞赏。
这是在Tomcat 7解决了与以下配置:
<Connector port="443" protocol="HTTP/1.1" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" sslEnabledProtocols="TLSv1.2,TLSv1.1,TLSv1" acceptCount="100" keystoreFile="XXXXXXXXX" keystorePass="XXXXXXXXX" ciphers="SSL_RSA_WITH_RC4_128_MD5, SSL_RSA_WITH_RC4_128_SHA, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_RSA_WITH_RC4_128_SHA, TLS_RSA_WITH_AES_128_CBC_SHA256, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_256_CBC_SHA256, TLS_RSA_WITH_AES_256_CBC_SHA"/>
SSL_RSA_WITH_RC4_128_SHA
这是SSL加密,我认为它使你仍然容易受到狮子狗。我还没找到使用JSSE或NIO的tomcat 7/Java 7的解决方法。我切换到APR连接器。为了使用它们,虽然你需要使用最新版本的本地库/ tomcat 1.0.32/7.0.57。
你从哪儿卫生署密码获取不允许用于PCI合规?据我所知,它们不是必需的(与不允许的完全不同),所以一些禁用它们是因为它们具有更多的计算开销。但是卫生署是与老年客户保持密切联系的唯一方式(如IE8)。 – 2014-10-31 21:16:39
从我的PCI DSS ASV 远程SSL/TLS服务器接受弱的Diffie-Hellman(DH)公共密钥值。 这个缺陷可以在开展对远程服务器的人在这方面的中间人(MITM)攻击帮助攻击者,因为它可以使一个完全可预测的Diffie-Hellman秘密的强制计算。 – Kevin 2014-11-03 11:46:09
这主要影响使用OpenSSL的系统(我们不这样做)。但是,我已经删除了这些密码,因此它正在标记为合规失败。 – Kevin 2014-11-03 11:47:16