Tengo una aplicación heredada que se encuentra en Java 6 (!) y habla con Apache 2.2.15 en RHEL 6.4.
(Hay una actualización para Java 6 en las tarjetas, pero no antes de la fecha de lanzamiento).
Hemos fallado pentest para una configuración TLS débil, por lo que quiero encontrar el mejor conjunto de cifrado que admitan Java 6 y Apache, sin ninguna modificación, por ejemplo. sin agregar proveedores criptográficos a Java.
He visto el Client Hello
que proviene de la aplicación Java y, al eliminar las suites que sé que fallarán (grado de exportación, RC4, etc.), esto es lo que me queda:
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_DHE_RSA_WITH_AES_128_CBC_SHA
TLS_DHE_RSA_WITH_AES_256_CBC_SHA
TLS_DHE_DSS_WITH_AES_128_CBC_SHA
TLS_DHE_DSS_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA
TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA
TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA
Tenga en cuenta que solo tengo un cliente que lo admita, por lo que bastará con un conjunto de cifrado que ambos lados admitan.
Me doy cuenta de que puede que no haya una respuesta clara a esto, por lo que se agradece cualquier consejo.