在 Tomcat 中禁用 SSL/TLS 重新协商答案

【问题标题】：Disable SSL/TLS Renegotiation In Tomcat在 Tomcat 中禁用 SSL/TLS 重新协商
【发布时间】：2018-07-25 21:53:02
【问题描述】：

这是关于 SSL/TLS 重新协商问题。我们使用 Tomcat 7.0.47 作为我们应用程序的 Web 服务器。我尝试了许多不同的方法来禁用重新协商，但都没有成功。我们在 Server.xml 文件中启用了 SSL，如下所示：

<Connector SSLEnabled="true" 
           clientAuth="false" 
           compressableMimeType="text/html,text/plain,text/xml,text/css,text/javascript,image/png,image/gif,image/jpeg,application/json" 
           compression="on" 
           compressionMinSize="2048" 
           connectionTimeout="15000" 
           debug="0" 
           disableUploadTimeout="true" 
           enableLookups="false" 
           keyAlias="SomeAlias" 
           keystoreFile="C:\.keystore" 
           keystorePass="SomePassword" 
           maxHttpHeaderSize="20480" 
           maxSpareThreads="100" 
           maxThreads="400" 
           minSpareThreads="25" 
           port="8443"
           protocol="HTTP/1.1"
           allowUnsafeLegacyRenegotiation=false            
           scheme="https" 
           secure="true" 
           sslProtocol="TLS" 
           tomcatAuthentication="false"/>

在这里，我尝试设置选项 allowUnsafeLegacyRenegotiation=false 但服务器无法使用此设置启动。

【问题讨论】：

定义“无法启动”。

标签： java ssl tomcat7

【解决方案1】：

很遗憾，Oracle 的当前 JSSE 实施没有为您的问题提供任何解决方案。但是您可以运行旧的 Java（Java 6 更新 19/20/21），正如 JSSE Reference Guide table 7 中所解释的那样，因为这些称为“阶段 1 修复”的版本允许完全删除重新协商支持。

考虑到旧的 Java 版本还有其他问题并且您可能不想运行它们，最安全的方法是只允许最新的重新协商 (RFC 5746)。为此，如JSSE Reference Guide table 9 中所述，将这两个系统属性设置为 false：allowLegacyHelloMessages 和 allowUnsafeRenegotiation。并删除不再有用的allowUnsafeLegacyRenegotiation 连接器属性。

【讨论】：

此外，如果您正在配置增强安全性，您应该从连接器中删除压缩。
我将 allowLegacyHelloMessages、allowUnsafeRenegotiation 选项设置为 false。但问题仍然存在。
您如何看待这个问题？用网络捕获？如果您正在运行 JConsole，请检查此处的系统属性，然后我们确定它们已被考虑在内。
我可以从命令“openssl s_client -connect :”的响应中看到这个问题。响应包含“支持安全重新协商”。基本上我想看的是，我根本不想要重新谈判。
对，我建议的设置只禁用旧式重新协商。我重写了我的答案以更好地解释这一点。根本不重新谈判意味着运行旧的 Java，或者悬赏寻找我们目前无法承诺的高级解决方案，因为它们需要深入调查。