【发布时间】:2014-10-28 03:41:35
【问题描述】:
全部,
我正在修复代码中的安全漏洞问题(请参阅下面的链接)。 http://googleonlinesecurity.blogspot.com/2014/10/this-poodle-bites-exploiting-ssl-30.html
在我们使用以下 ssl 上下文进行安全通信的地方
SSLContext.getInstance("TLS")(包:javax.net.ssl)。
我知道 getInstance 采用协议字符串值,但问题是“TLS”的值是什么意思,即它与 TLS1.0 相同吗?同样,“SSL”的值是什么意思,它与“SSLv3”相同吗?
是否有办法在创建上下文以修复此漏洞时提及“TLS_FALLBACK_SCSV”?我们正在考虑的一种方法是禁用 ssl 并仅使用 TLS1.2,但为了使其向后兼容,有没有一种方法可以指定文章中提到的回退选项,如果有的话,这个选项可以在创建时传递给 api 调用ssl 上下文?
谢谢! 桑托什
【问题讨论】:
-
文档说“支持某些版本的 SSL;可能支持其他版本”,这有点令人困惑。