如何將TomEE 1.5.2配置爲僅提供當今被認爲可信/安全的SSL密碼套件？

Question

我在嘗試訪問我的應用程序時遇到了FF中的此錯誤。

（錯誤代碼：ssl_error_weak_server_ephemeral_dh_key）

我上配置SSL下面這個HOW TO，但它不工作。那麼如何配置TomEE？

我所做的是生成密鑰庫：

keytool -genkeypair -v -dname "cn=NAME, ou= NEME, o= NAME, l=CITY, st=STATE, c=XX" -alias tomcat - keypass PASS -storepass PASS -keyalg RSA -validity 3650

，並添加到server.xml中：

<Connector SSLEnabled="true" acceptCount="100" clientAuth="false" 
     disableUploadTimeout="true" enableLookups="false" maxThreads="25" 
     port="8444" keystoreFile="KEYSTORE_FILE" keystorePass="PASS" 
     protocol="org.apache.coyote.http11.Http11NioProtocol" scheme="https" 
     secure="true" sslProtocol="TLS" /> 

但它不工作

Answer 1

您所看到的錯誤是由於Firefox的緩解Logjam attack。爲了解決這個問題，你必須增加你的DH密鑰長度，不幸的是，目前看來Tomcat或TomEE並不是一個選項。

你在這個時候的選項是

a）拆下支持您的服務器DH密碼套件，只允許非DH密碼套件。這在official Logjam mitigations page（向下滾動到標題爲「Apache Tomcat」的部分）中進行了描述。密切關注使用256位AES密碼所需採取的措施。

OR

B）禁用Firefox中的安全設置，以允許這樣的具有弱DH鍵你的站點的連接。這是不可取的，因爲您的用戶可能不願意爲了訪問您的網站而降低安全性。這在相關的Security Stack Exchange answer中描述。