0

TLS の初期ハンドシェイクについて質問があります。(私は専門家ではないので、わかりやすい説明が欲しいです)。

ウィキペディアによると:

*交渉フェーズ:

  1. クライアントは、サポートする最も高い TLS プロトコル バージョン、乱数、推奨される暗号スイートのリスト、および圧縮方法を指定する ClientHello メッセージを送信します。
  2. サーバーは、選択されたプロトコル バージョン、乱数、暗号スイート、およびクライアントによって提供された選択肢からの圧縮方法を含む ServerHello メッセージで応答します。サーバーは、再開されたハンドシェイクを実行するために、メッセージの一部としてセッション ID を送信することもできます。

私がやろうとしているのは、ClientHello フェーズ中に送信される暗号リストを変更することです (128 ビット + 暗号のみを含めるようにします)。

クライアントが ClientHello メッセージをサーバー (jboss) に送信すると、server.xml ファイルをいじって次のようなものを追加することで、jboss が処理できる暗号を制限できます。

ciphers="DHE-RSA-AES256-SHA,DHE-DSS-AES256-SHA,DHE-RSA-CAMELLIA256-SHA,DHE-DSS-CAMELLIA256-SHA,AES256-SHA,CAMELLIA256-SHA,PSK-AES256-CBC-SHA,EDH-RSA-DES-CBC3-SHA,EDH-DSS-DES-CBC3-SHA,DES-CBC3-SHA,PSK-3DES-EDE-CBC-SHA,DHE-RSA-AES128-SHA,DHE-DSS-AES128-SHA,DHE-RSA-CAMELLIA128-SHA,DHE-DSS-CAMELLIA128-SHA,AES128-SHA,CAMELLIA128-SHA,PSK-AES128-CBC-SHA"

私のサーバーが別のサーバーに接続していて(したがってクライアントのように動作している)、ハンドシェイク自体を開始するときにそれで十分かどうか疑問に思っています。

お時間をいただきありがとうございます

4

1 に答える 1

3

いいえ、そうではありません。server.xml は、SSL クライアントではなく、サーバー コネクタの動作を定義します。独自の SSLSocket または HttpsURLConnection 、またはクライアントとして接続するために使用しているものに、有効な暗号スイートを設定する必要があります。

于 2013-10-01T22:38:14.590 に答える