Come scegliere ECDH e ECDHE con una curva superiore a 192 in Tomcat

-1

Utilizzo il server tomcat, dove mi sono imbattuto in una situazione in cui lo strumento TestSSLServer riporta quanto segue.

Apprezzate molto la vostra esperienza nel raccomandare una soluzione al ritrovamento in cui sia possibile scegliere la dimensione della curva ECDH superiore a 192. Nel server le suite sono solo ECDH o ECDHE. Mi chiedo come limitare il valore della curva per la EC sopra 192.

Come posso risolvere questo al server.

Minimum EC size (no extension):   256
Minimum EC size (with extension): 160
Supported curves (size and name) ('*' = selected by server):
    162  sect163k1 (K-163)
    162  sect163r1
    162  sect163r2 (B-163)
    192  sect193r1
    192  sect193r2
    231  sect233k1 (K-233)
    232  sect233r1 (B-233)
    237  sect239k1
    281  sect283k1 (K-283)
    282  sect283r1 (B-283)
    407  sect409k1 (K-409)
    408  sect409r1 (B-409)
    569  sect571k1 (K-571)
    570  sect571r1 (B-571)
    160  secp160k1
    160  secp160r1
    160  secp160r2
    192  secp192k1
    192  secp192r1 (P-192)
    224  secp224k1
    224  secp224r1 (P-224)
    256  secp256k1
  * 256  secp256r1 (P-256)
    384  secp384r1 (P-384)
    521  secp521r1 (P-521)
=========================================
**WARN[SK004]: Server supports ECDH parameters smaller than 192 bits**
    
posta Ramesh 17.06.2016 - 06:40
fonte

1 risposta

0

I credo che cosa devi fare è eliminare le prime tre curve nell'elenco. Per impostazione predefinita, Tomcat sta probabilmente utilizzando tutte le curve fornite dal provider Sun EC. Quindi ... penso che puoi impostare quelli impostandoli nel tuo file di certificato, da documenti Tomcat per SSLCertificateFile, "Oltre al certificato, il file può anche contenere come parametri facoltativi i parametri DH e / o un nome di curva EC per l'effimero le chiavi, come generate da openssl dhparam e openssl ecparam , rispettivamente. L'output del rispettivo comando OpenSSL può semplicemente essere concatenato al file del certificato. " Quindi, scegli le curve che vuoi usare (nessuna delle 163) e poi genera i parametri per loro e aggiungili alla fine del tuo certificato.

    
risposta data 23.06.2016 - 02:43
fonte

Leggi altre domande sui tag