我们当前的(默认)Sophos防火墙(Apache反向代理)设置不允许Java 6客户端通过HTTPS进行连接。 ssltest结果显示原因是“客户端不支持DH参数> 1024位”。
对于其他站点(例如https://bsi.de )的“A”评级的ssltest报告certificate,有方法configurationHTTPS防火墙,以便Java 6客户端能够连接。
我们联系了Sophos的支持。 他们的回答是我们不应该降低我们的安全设置。 相反,我们的客户应该考虑Java升级。
这两个答案当然是合理的。 但是我们对客户的ITconfiguration没有任何影响。
问题 :是否可以configurationApache反向代理,以便传入Java 6 HTTPS连接成为可能,而不降低安全性?
如果我们将服务器密码套件与支持Java 6 HTTPS连接的服务器进行比较,则可以看到启用了更多的密码,所以我猜想Java 6连接问题的原因是额外的密码之一。 不过,我想删除一些DH密码可能会引起与其他客户端的连接问题。
我们的客户要求我们删除所有的DHE密码。 这些是:
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 TLS_DHE_RSA_WITH_AES_256_CBC_SHA TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA TLS_DHE_RSA_WITH_AES_128_CBC_SHA 我们安装了几个TLS_ECDHE_密码。
https://security.stackexchange.com/questions/97750/usage-of-ephemeral-diffie-hellman-ciphers-in-2015-and-beyond的相关文章说
TLS_DHE_xxx密码套件在野外使用并不多 – Alexa.com网站前十个站点中只有一个站点(Wikipedia.org)实际使用它们。 其他人都没有做,而是依靠TLS_ECDHE_xxx或TLS_RSA_xxx密码。 从这个angular度我只能推断出没有很多浏览器会受到不使用这些密码的影响,否则这些大的网站就会把人们关掉。
所以我想如果我们知道没有客户需要它们,那么去除这些密码是安全的,并且看看会发生什么。