9

我们的 Java 应用程序公开了许多不同的接口(SMTP、FTP、HTTP),由 SSL/TLS 保护。现在的目标是将这些接口上允许的密码套件限制为仅包含“强”密码套件。我已经有一个列表,并且很清楚如何使它适用于特定的套接字

socket.setEnabledCipherSuites(ENABLED_SECURE_CIPHER_SUITES);

或用于 Tomcat 连接器

 <Connector port="443" ciphers="..."/>

问题是应用程序中已经有 5 个地方我应该手动应用此限制。Common SocketFactory 似乎没有帮助,因为向第三方 API 或框架提供自定义 SocketFactory 并不总是可行的。是否有可能以某种方式在 JRE 级别引入这种限制,例如使用 JCE 提供程序配置或策略文件?

JRE:甲骨文 JRE 1.7.0_17

4

1 回答 1

10

好吧,我设法让它工作。感谢 EJP 指出了正确的方向。从 Java 1.7 开始,$JRE_HOME/lib/security/java.security 中有两个附加属性:

jdk.certpath.disabledAlgorithms=MD2

控制认证路径构建和验证的算法。

jdk.tls.disabledAlgorithms=MD5, SHA1, RC4, RSA keySize < 1024

用于 SSL/TLS 处理的 JVM 范围的算法限制,这是我一直在寻找的。符号在这里很明显;可以禁止某些算法或限制密钥大小。Oracle JRE 7、Open JRE 7 和(令人惊讶的) IBM Java v7都支持这两个属性

于 2013-09-04T19:43:01.597 回答