Tengo un servidor JBoss EAP versión 6.4.12. Por curiosidad, realicé una prueba con la herramienta SSLLabs y recibí una F. Se mencionaron intercambios de claves débiles como DH, sin secreto de envío, vulnerables a DROWN, etc.
A la luz de eso, configuré una lista sólida de conjuntos de cifrado dentro del standalone.xml de JBoss. También especifico usar solo TLS 1.2. Sin embargo, a pesar de proporcionar estas configuraciones cuando vuelvo a ejecutar la herramienta SSLLabs, me da una F citando las mismas preocupaciones de seguridad.
Cuando ejecuto nmap para ver una lista de conjuntos de cifrados disponibles, solo devuelve 2 fuertes que sí tengo configurados en mi lista y la menor fuerza dice "A".
Entiendo que diferentes clientes admitirán y negociarán diferentes conjuntos de cifrado con el servidor, pero ¿cómo es posible que SSLLabs aún piense que los intercambios de claves como DH están habilitados? Acorté la lista aún más en vano.
La lista corta Actualmente estoy usando: TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384, TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256, TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256