Cómo elegir ECDH y ECDHE con una curva de más de 192 en Tomcat

-1

Estoy usando el servidor tomcat, donde me encontré con una situación en la que la herramienta TestSSLServer informa lo siguiente.

Aprecio mucho su experiencia en recomendar una solución al hallazgo donde puedo elegir un tamaño de curva ECDH mayor que 192. En el servidor, las suites son solo ECDH o ECDHE. Me pregunto cómo restringir el valor de la curva para la CE por encima de 192.

¿Cómo puedo resolver esto al final del servidor?

Minimum EC size (no extension):   256
Minimum EC size (with extension): 160
Supported curves (size and name) ('*' = selected by server):
    162  sect163k1 (K-163)
    162  sect163r1
    162  sect163r2 (B-163)
    192  sect193r1
    192  sect193r2
    231  sect233k1 (K-233)
    232  sect233r1 (B-233)
    237  sect239k1
    281  sect283k1 (K-283)
    282  sect283r1 (B-283)
    407  sect409k1 (K-409)
    408  sect409r1 (B-409)
    569  sect571k1 (K-571)
    570  sect571r1 (B-571)
    160  secp160k1
    160  secp160r1
    160  secp160r2
    192  secp192k1
    192  secp192r1 (P-192)
    224  secp224k1
    224  secp224r1 (P-224)
    256  secp256k1
  * 256  secp256r1 (P-256)
    384  secp384r1 (P-384)
    521  secp521r1 (P-521)
=========================================
**WARN[SK004]: Server supports ECDH parameters smaller than 192 bits**
    
pregunta Ramesh 17.06.2016 - 06:40
fuente

1 respuesta

0

Yo creo lo que debe hacer es deshacerse de las tres primeras curvas de la lista. De forma predeterminada, Tomcat probablemente esté utilizando todas las curvas proporcionadas por el proveedor de Sun EC. Entonces ... creo que puede establecerlos configurándolos en su archivo de certificado, desde los documentos Tomcat para SSLCertificateFile, "Además del certificado, el archivo también puede contener como elementos opcionales los parámetros DH y / o un nombre de curva EC para efímero Las claves, generadas por openssl dhparam y openssl ecparam , respectivamente. estar concatenado al archivo de certificado ". Por lo tanto, elija las curvas que desea usar (ninguna de las 163) y luego genere parámetros para ellas y agréguelas al final de su certificado.

    
respondido por el Swashbuckler 23.06.2016 - 02:43
fuente

Lea otras preguntas en las etiquetas