ranger開啓https時,綠盟掃描中危漏洞 服務器的瞬時 Diffie-Hellman 公共密鑰過弱
SpringBoot配置解決 服務器的瞬時 Diffie-Hellman 公共密鑰過弱 的問題
在對生產服務器的安全性掃描中,(SpringBoot架構)發現報了服務器的瞬時 Diffie-Hellman 公共密鑰過弱的問題
只需要在application.properties中配置上以下兩項配置即可
server.ssl.enabled-protocols[3]=TLSv1,TLSv1.1,TLSv1.2
server.ssl.ciphers[10]=TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_RC4_128_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA,SSL_RSA_WITH_RC4_128_SHA
ranger改動如下:
final Tomcat server = new Tomcat();
Connector ssl = new Connector();
String enabledProtocols = "TLSv1,TLSv1.1,TLSv1.2";
String enabledProtocols = "TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_RC4_128_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA,SSL_RSA_WITH_RC4_128_SHA";
ssl.setAttribute("sslEnabledProtocols", enabledProtocols);
ssl.setAttribute("ciphers", ciphers);
server.getService().addConnector(ssl);
server.setConnector(ssl);