使用SSL時的Tomcat超時時間

Question

我遇到了Tomcat 6的問題。由於某些原因，Tomcat在使用Chrome或Firefox時並未回答客戶端Hello SSL消息（因此瀏覽器最終超時），但它在Internet上正常工作資源管理器。奇怪的是，這並不總是發生;它取決於運行Tomcat的機器（在某些機器上運行，而在其他機器上運行，而在其他機器上運行）。

使用打包器嗅探器我比較了不同的客戶端Hello消息，並且我能夠將問題跟蹤到0x0033密碼套件（TLS_DHE_RSA_WITH_AES_128_CBC_SHA）。如果瀏覽器將其指定爲可接受的密碼套件，則服務器可能會掛起（取決於它所運行的機器）。 Internet Explorer並未將其指定爲可接受的密碼套件，因此服務器可以正常工作，但Chrome和Firefox都能正常工作，所以出現問題時（實際上我認爲服務器最終會回覆客戶端Hello消息，但需要很長時間大約99,99％的瀏覽器超時）。

我對此有一個解決方法，它是在瀏覽器上禁用此密碼套件。我想我可以禁用Tomcat上的密碼套件，但我試圖避免這種情況。其實我試圖找出爲什麼它掛在首位。請注意，我並沒有在出現問題的機器上發現任何模式，只是它們都是Windows機器。

任何想法？謝謝！

Answer 1

唯一的想法我可以建議 - 定製加密軟件安裝在這些Windows機器上，以某種方式註冊它的一些密碼套件的安全提供商（例如使用認可的庫）。所以java調用這個密碼組的外部實現並掛在它上面，出於某種原因。我從來沒有遇到過這樣的事情，只是聽過這樣的故事。恐怕不是那麼可能的想法。

Othrewise這個ciphersuite看起來絕對健全，只是在linux上試了一下。