Tomcat 7 で Diffie-Hellman キー交換が許可されているため、定期的な PCI 監査に失敗しました。私は Tomcat にあまり詳しくないので、いくつかの調査を行っても役に立ちませんでした。
監査では、これを修正するには 3 つの選択肢があると言われました。
- OpenSSL 1.0.0 にアップグレードします。YUM では使用できません。
- FIPS モードを無効にします。最良の選択肢ではないと言う人もいます。
- Diffie-Hellman 鍵交換を含まないように暗号スイートを構成します。最良の推測、これが私が必要とするものです。
実行しているもの: Tomcat 7.0.23 OpenSSL 0.9.8e CentOS 5.5
どんな助けでも大歓迎です。
これは監査が言ったことです:
説明: SSL サーバーは弱い Diffie-Hellman キーを受け入れます 概要: リモート SSL/TLS サーバーは、弱い Diffie-Hellman 公開鍵を受け入れます。この欠陥は、完全に予測可能な Diffie-Hellman シークレットの強制的な計算を可能にする可能性があるため、攻撃者がリモート サーバーに対して中間者 (MiTM) 攻撃を実行するのに役立つ可能性があります。リモートホストに接続しているクライアントの1つに影響を与えるには、SSL実装の欠陥が必要になるため、MiTM攻撃(したがって、リスク要因は「なし」)。
受信したデータ: 値が 1 の DH キーを送信することにより、完全な SSL ハンドシェイクを完了することができました。 その他の参照: OSVDB:70945、OSVDB:71845
解決策: FIPS モードでコンパイルすると、OpenSSL が影響を受けます。この問題を解決するには、OpenSSL 1.0.0 にアップグレードするか、FIPS モードを無効にするか、サーバーが使用する暗号スイートに Diffie-Hellman 鍵交換が含まれないように構成します。PolarSSL が影響を受けます。この問題を解決するには、バージョン 0.99-pre3 / 0.14.2 以降にアップグレードしてください。他の SSL 実装を使用している場合は、サーバーが使用する暗号スイートを構成して Diffie-Hellman 鍵交換を含まないようにするか、ベンダーに連絡してパッチを入手してください。」