Ho un'applicazione legacy che si trova su Java 6 (!), e parla con Apache 2.2.15 su RHEL 6.4.
(Un aggiornamento per Java 6 è sulle carte, ma non prima di go-live date.)
Abbiamo pentest fallisce per una debole configurazione TLS, quindi voglio trovare la migliore suite di crittografia supportata da Java 6 e Apache, senza alcuna modifica, ad es. nessuna aggiunta di provider di crittografia a Java.
Ho esaminato il Client Hello
proveniente dall'app Java e, dopo aver rimosso le suite che so che non riuscirò a ottenere (grado di esportazione, RC4, ecc.), questo è ciò che mi rimane:
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_DHE_RSA_WITH_AES_128_CBC_SHA
TLS_DHE_RSA_WITH_AES_256_CBC_SHA
TLS_DHE_DSS_WITH_AES_128_CBC_SHA
TLS_DHE_DSS_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA
TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA
TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA
Tieni presente che ho solo un client per supportare questo, quindi una suite di crittografia che sia supportata da entrambi i lati sarà sufficiente.
Mi rendo conto che potrebbe non esserci una risposta chiara a questo, quindi qualsiasi consiglio è apprezzato.