Ho un server JBoss EAP versione 6.4.12. Per curiosità ho eseguito un test con lo strumento SSLLabs e ho ricevuto una F. Ha menzionato scambi di chiavi deboli come DH, nessuna segretezza in avanti, vulnerabili a DROWN ecc.
Alla luce di ciò ho configurato un strong elenco di ciphersuites all'interno di JBoss 'standalone.xml. Specifico anche di utilizzare solo TLS 1.2. Tuttavia, nonostante fornisca queste configurazioni quando rieseguo lo strumento SSLLabs, mi dà un F che cita gli stessi problemi di sicurezza.
Quando eseguo nmap per vedere un elenco di cipherute disponibili, restituisce solo 2 quelli forti che ho configurato nella mia lista e il meno strong dice "A".
Capisco che diversi client supporteranno e negozieranno cipheruites differenti con il server, ma come è possibile che gli SSLLab continuino a pensare che gli scambi di chiavi come il DH siano abilitati? Ho accorciato la lista ancora più inutilmente.
La breve lista Attualmente sto usando: TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384, TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256, TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256