SSLLab che riporta cifre deboli nonostante l'elenco delle specifiche in JBoss EAP 6.4.12

0

Ho un server JBoss EAP versione 6.4.12. Per curiosità ho eseguito un test con lo strumento SSLLabs e ho ricevuto una F. Ha menzionato scambi di chiavi deboli come DH, nessuna segretezza in avanti, vulnerabili a DROWN ecc.

Alla luce di ciò ho configurato un strong elenco di ciphersuites all'interno di JBoss 'standalone.xml. Specifico anche di utilizzare solo TLS 1.2. Tuttavia, nonostante fornisca queste configurazioni quando rieseguo lo strumento SSLLabs, mi dà un F che cita gli stessi problemi di sicurezza.

Quando eseguo nmap per vedere un elenco di cipherute disponibili, restituisce solo 2 quelli forti che ho configurato nella mia lista e il meno strong dice "A".

Capisco che diversi client supporteranno e negozieranno cipheruites differenti con il server, ma come è possibile che gli SSLLab continuino a pensare che gli scambi di chiavi come il DH siano abilitati? Ho accorciato la lista ancora più inutilmente.

La breve lista Attualmente sto usando: TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384, TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256, TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

    
posta user178419 18.05.2018 - 19:58
fonte

0 risposte

Leggi altre domande sui tag