我正在尝试在我的应用程序中为嵌入式 jetty 服务器设置允许的 ssl 密码套件。如果由于某种原因我在运行 sslscan 时仅在 xml 文件设置中使用 SslContextFactory 的 IncludeCipherSuites 设置,则它仅列出 TLSv1.2 的密码,而不列出 TLSv1.1 或 TLSv1.0。我需要能够让 jetty 使用所有三个 TLS 版本。无论如何,我可以为 Jetty 设置 IncludeCipherSuites,以便我可以正确设置列表。
Jetty 9.3.8 禁用了 SLOTH 易受攻击的密码,这些密码会阻止最新版本的 Chrome 进行正确加密(如果您重新启用 SLOTH 易受攻击的密码,您将在 Chrome 中看到 损坏的挂锁图标)。
您需要在
${jetty.base}/etc/tweak-ssl.xml中设置
${jetty.base}/start.ini 和适当的条目
注意:您应该使用拆分
和${jetty.home}目录结构,并且不修改${jetty.base}内容${jetty.home}
至于使用什么配置,由您决定。
知道排除胜过包含。如果排除密码套件,则在包含列表中添加任何内容都不会启用它。
另请注意,JVM 本身也会禁用各种旧协议和密码套件,遵循 Jetty 在安全方面的相同准则和更新规范。在不久的将来,您还必须在 JVM 级别重新启用这些密码和协议。