我正在testing我的服务器的Tomcat SSLconfiguration,我正在使用nmap的ssl-enum-ciphers脚本,并且出现以下警告:
低于证书密钥的密钥交换参数
这是什么意思? 我无法find有关此诊断的有意义的信息。
Tomcat server.xml密码:
ciphers="TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_DHE_RSA_WITH_AES_128_GCM_SHA256, TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_DHE_RSA_WITH_AES_128_CBC_SHA256, TLS_DHE_RSA_WITH_AES_128_CBC_SHA,TLS_DHE_RSA_WITH_AES_256_CBC_SHA256,TLS_DHE_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_128_GCM_SHA256,TLS_RSA_WITH_AES_256_GCM_SHA384,TLS_RSA_WITH_AES_128_CBC_SHA256, TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA"
这意味着服务器configuration了具有一定密钥强度(可能是2048位RSA)的证书,但正在使用的特定密码套件被configuration为使用不同的密钥交换材料。 这很可能是具有1028位强度的Diffie-Hellman(DH)参数。
要解决这个问题,您可以从您的configuration中删除与DH相关的密钥交换密码套件,或者生成并configuration更强大的DH参数。 weakdh.org提供更直接的指导