TLS重协商漏洞和RC4加密安全套件漏洞
禁用TLS1.0
setDomainEnv.sh
找到"JAVA_OPTIONS="处
weblogic10.3.6及以后版本:
-Djava.net.preferIPv4Stack=true -Dweblogic.security.SSL.minimumProtocolVersion=TLSv1.0
以前版本:
-Dweblogic.security.SSL.protocolVersion=TLS1
- 注意:TLS1.2只有JDK8才默认支持,JDK7需要修改代码才可以使用TLS1.2
- 这两个是有些区别的,上边是限定SSL的最低使用版本(要禁用1.2,将1.0改为1.2),下边是指定SSL的使用版本
禁用RC4及其他有漏洞的加密套件
编缉$DOMAIN_HOME/config目录下的config.xml,找到要限制密码套件的server下的ssl标签,加入以下内容:
<ciphersuite>TLS_RSA_WITH_AES_128_CBC_SHA</ciphersuite>
<ciphersuite>TLS_RSA_WITH_AES_256_CBC_SHA</ciphersuite><!--该参数可能存在问题-->
<ciphersuite>TLS_RSA_WITH_3DES_EDE_CBC_SHA</ciphersuite>
<ciphersuite>SSL_RSA_WITH_3DES_EDE_CBC_SHA</ciphersuite>
例如:
<ssl>
<enabled>true</enabled>
<ciphersuite>TLS_RSA_WITH_AES_128_CBC_SHA</ciphersuite>
<ciphersuite>TLS_RSA_WITH_3DES_EDE_CBC_SHA</ciphersuite>
<ciphersuite>SSL_RSA_WITH_3DES_EDE_CBC_SHA</ciphersuite>
<hostname-verifier xsi:nil="true"></hostname-verifier>
<hostname-verification-ignored>false</hostname-verification-ignored>
<client-certificate-enforced>false</client-certificate-enforced>
<listen-port>8443</listen-port>
<login-timeout-millis>10000</login-timeout-millis>
<two-way-ssl-enabled>false</two-way-ssl-enabled>
<server-private-key-alias>xxx.xxx.xxx.xxx</server-private-key-alias>
<server-private-key-pass-phrase-encrypted>xxxxx</server-private-key-pass-phrase-encrypted>
<ssl-rejection-logging-enabled>true</ssl-rejection-logging-enabled>
<identity-and-trust-locations>KeyStores</identity-and-trust-locations>
<jsse-enabled>true</jsse-enabled>
</ssl>
|