Чтобы соответствовать требованиям PCI, я использую nmap для сканирования уязвимостей SSL:
nmap -p 8443 --script ssl-enum-ciphers myJettyServer.com
Я обнаружил, что SWEET32 существует на моем встроенном сервере Jetty 9.1.5. Чтобы решить эту проблему, я добавляю следующие строки в jetty.xml:
Все остальные шифры 3DES пропали, кроме этого TLS_RSA_WITH_3DES_EDE_CBC_SHA. Это так странно!
<Set name="ExcludeProtocols">
<Array type="java.lang.String">
<Item>SSLv3</Item>
</Array>
</Set>
<Set name="ExcludeCipherSuites">
<Array type="java.lang.String">
<!-- default -->
<Item>SSL_DHE_DSS_EXPORT_WITH_DES40_CBC_SHA</Item>
<Item>SSL_DHE_DSS_WITH_AES_128_CBC_SHA</Item>
<Item>SSL_DHE_DSS_WITH_AES_256_CBC_SHA</Item>
<Item>SSL_DHE_DSS_WITH_DES_CBC_SHA</Item>
<Item>SSL_DHE_DSS_WITH_RC4_128_SHA</Item>
<Item>SSL_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA</Item>
<Item>SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA</Item>
<Item>SSL_DHE_RSA_WITH_AES_128_CBC_SHA</Item>
<Item>SSL_DHE_RSA_WITH_AES_256_CBC_SHA</Item>
<Item>SSL_DHE_RSA_WITH_DES_CBC_SHA</Item>
<Item>SSL_RSA_EXPORT_WITH_DES40_CBC_SHA</Item>
<Item>SSL_RSA_EXPORT_WITH_RC4_40_MD5</Item>
<Item>SSL_RSA_FIPS_WITH_3DES_EDE_CBC_SHA</Item>
<Item>SSL_RSA_FIPS_WITH_DES_EDE_CBC_SHA</Item>
<Item>SSL_RSA_WITH_DES_CBC_SHA</Item>
<!--3DES-->
<Item>TLS_RSA_WITH_3DES_EDE_CBC_SHA</Item>
<Item>TLS_DH_DSS_WITH_3DES_EDE_CBC_SHA</Item>
<Item>TLS_DH_RSA_WITH_3DES_EDE_CBC_SHA</Item>
<Item>TLS_DH_anon_WITH_3DES_EDE_CBC_SHA</Item>
<Item>TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA</Item>
<Item>TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA</Item>
<Item>TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA</Item>
<Item>TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA</Item>
<!-- RC4 -->
<Item>PCT_SSL_CIPHER_TYPE_1ST_HALF</Item>
<Item>SSL_DH_anon_EXPORT_WITH_RC4_40_MD5</Item>
<Item>SSL_DH_anon_WITH_RC4_128_MD5</Item>
<Item>SSL_RSA_EXPORT_WITH_RC4_40_MD5</Item>
<Item>SSL_RSA_WITH_RC4_128_MD5</Item>
<Item>SSL_RSA_WITH_RC4_128_SHA</Item>
<Item>SSL2_RC4_128_EXPORT40_WITH_MD5</Item>
<Item>SSL2_RC4_128_WITH_MD5</Item>
<Item>SSL2_RC4_64_WITH_MD5</Item>
<Item>TLS_DH_Anon_EXPORT_WITH_RC4_40_MD5</Item>
<Item>TLS_DH_Anon_WITH_RC4_128_MD5</Item>
<Item>TLS_DHE_DSS_EXPORT1024_WITH_RC4_56_SHA</Item>
<Item>TLS_DHE_DSS_EXPORT1024_WITH_RC4_56_SHA256</Item>
<Item>TLS_DHE_DSS_WITH_RC4_128_SHA</Item>
<Item>TLS_DHE_DSS_WITH_RC4_128_SHA256</Item>
<Item>TLS_DHE_PSK_WITH_RC4_128_SHA</Item>
<Item>TLS_DHE_PSK_WITH_RC4_128_SHA256</Item>
<Item>TLS_ECDH_Anon_WITH_RC4_128_SHA</Item>
<Item>TLS_ECDH_Anon_WITH_RC4_128_SHA256</Item>
<Item>TLS_ECDH_ECDSA_WITH_RC4_128_SHA</Item>
<Item>TLS_ECDH_ECDSA_WITH_RC4_128_SHA256</Item>
<Item>TLS_ECDH_RSA_WITH_RC4_128_SHA</Item>
<Item>TLS_ECDH_RSA_WITH_RC4_128_SHA256</Item>
<Item>TLS_ECDHE_ECDSA_WITH_RC4_128_SHA</Item>
<Item>TLS_ECDHE_ECDSA_WITH_RC4_128_SHA256</Item>
<Item>TLS_ECDHE_PSK_WITH_RC4_128_SHA</Item>
<Item>TLS_ECDHE_PSK_WITH_RC4_128_SHA256</Item>
<Item>TLS_ECDHE_RSA_WITH_RC4_128_SHA</Item>
<Item>TLS_ECDHE_RSA_WITH_RC4_128_SHA256</Item>
<Item>TLS_KRB5_EXPORT_WITH_RC4_40_MD5</Item>
<Item>TLS_KRB5_EXPORT_WITH_RC4_40_SHA</Item>
<Item>TLS_KRB5_EXPORT_WITH_RC4_40_SHA256</Item>
<Item>TLS_KRB5_WITH_RC4_128_MD5</Item>
<Item>TLS_KRB5_WITH_RC4_128_SHA</Item>
<Item>TLS_KRB5_WITH_RC4_128_SHA256</Item>
<Item>TLS_PSK_WITH_RC4_128_SHA</Item>
<Item>TLS_PSK_WITH_RC4_128_SHA256</Item>
<Item>TLS_RSA_EXPORT_WITH_RC4_40_MD5</Item>
<Item>TLS_RSA_EXPORT1024_WITH_RC4_56_MD5</Item>
<Item>TLS_RSA_EXPORT1024_WITH_RC4_56_SHA</Item>
<Item>TLS_RSA_EXPORT1024_WITH_RC4_56_SHA256</Item>
<Item>TLS_RSA_PSK_WITH_RC4_128_SHA</Item>
<Item>TLS_RSA_PSK_WITH_RC4_128_SHA256</Item>
<Item>TLS_RSA_WITH_RC4_128_MD5</Item>
<Item>TLS_RSA_WITH_RC4_128_SHA</Item>
<Item>TLS_RSA_WITH_RC4_128_SHA256</Item>
</Array>
</Set>
Как мне избавиться от этого шифра? Заранее спасибо.
Используя последнюю стабильную версию Jetty, вы можете запросить дамп сервера и увидеть список включенных / отключенных шифров, а также (что наиболее важно!) где они отключены.