ranger开启https时,绿盟扫描中危漏洞 服务器的瞬时 Diffie-Hellman 公共密钥过弱
SpringBoot配置解决 服务器的瞬时 Diffie-Hellman 公共密钥过弱 的问题
在对生产服务器的安全性扫描中,(SpringBoot架构)发现报了服务器的瞬时 Diffie-Hellman 公共密钥过弱的问题
只需要在application.properties中配置上以下两项配置即可
server.ssl.enabled-protocols[3]=TLSv1,TLSv1.1,TLSv1.2
server.ssl.ciphers[10]=TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_RC4_128_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA,SSL_RSA_WITH_RC4_128_SHA
ranger改动如下:
final Tomcat server = new Tomcat();
Connector ssl = new Connector();
String enabledProtocols = "TLSv1,TLSv1.1,TLSv1.2";
String enabledProtocols = "TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_RC4_128_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA,SSL_RSA_WITH_RC4_128_SHA";
ssl.setAttribute("sslEnabledProtocols", enabledProtocols);
ssl.setAttribute("ciphers", ciphers);
server.getService().addConnector(ssl);
server.setConnector(ssl);