Est-il possible de désactiver SSLv3 pour toutes les applications Java?

En raison de l'Caniche attaque, il est maintenant recommandé de désactiver SSLv3 pour les applications client et serveur et ne permettent TLS 1.0 -TLS 1.2 connexions.

Est-il un moyen de désactiver SSLv3 pour toutes les applications basées sur Java (serveur et client) sur un ordinateur sans avoir à modifier chaque programme Java?

Peut-être il y a une possibilité de changer la configuration de la JRE ou à l'aide d'une variable d'environnement.

Quelqu'un sait une telle façon?

double possible de Java http des clients et CANICHE

OriginalL'auteur Robert | 2014-10-22

  1. 3

    Vous n'avez pas précisé la version de Java, car en dessous de Java 8 il n'existe aucun moyen de refuser ou de désactiver SSL protocole, mais dans Java 8, vous pouvez définir les protocoles activés comme suit

    De manière statique:

    % java -Djdk.tls.client.protocols="TLSv1,TLSv1.1,TLSv1.2" MyApp

    Dynamiquement:

    java.lang.System.setProperty("jdk.tls.client.protocols", "TLSv1,TLSv1.1,TLSv1.2");

    Si vous êtes toujours à l'aide de java 7 ci-dessous ou essayez d'utiliser contourner expliqué Instructions pour désactiver SSL v3.0 dans Oracle JDK et JRE

    J'ai juste mis en œuvre morceau de code suivant pour interdire SSLv3 et SSLv2Hello sur l'un de nos Java6 application. 

    if(disabledSSLProtocols != null) {

    String[] protocols = sslEngine.getEnabledProtocols();
    List<String> protocolList = new ArrayList<String>();

    for (String s : protocols) {

        if (disabledSSLProtocols.contains(s)) {

            log4j.info("{} protocol is disabled", s);
            continue;
        }

        log4j.info("{} protocol is enabled", s);
        protocolList.add(s);
    }

    sslEngine.setEnabledProtocols(protocolList.toArray(new String[0]));
}

    disabledSSLProtocols initialisé avec SSLv3,SSLv2Hello

    Cela ne concerne Java clients. Vérifier ici

    OriginalL'auteur Mubashar Ahmad

  2. 1

    Prendre un coup d'oeil à http://www.oracle.com/technetwork/java/javase/overview/tlsreadme-141115.html

    Partie pertinente:

    Les renégociations peuvent être ré-activé pour les applications qui en ont besoin par la mise en au nouveau système de la propriété soleil.de sécurité.le protocole ssl.allowUnsafeRenegotiation à vrai avant la JSSE bibliothèque est initialisé. Il existe plusieurs façons de définir cette propriété:
    Ligne De Commande:
    % java -Dsun.de sécurité.le protocole ssl.allowUnsafeRenegotiation=true Principal
    Panneau de configuration Java (Plug-in Java /Java Web Start) - l'Environnement d'Exécution.
    Au sein de l'application:
    java.lang.Système.setProperty("sun.de sécurité.le protocole ssl.allowUnsafeRenegotiation", true);
    Notez que le protocole TLS/SSL renégociation ne se produira pas à moins que le client et le serveur ont permis à la renégociation.

    Il explique le problème et le corriger.

    Êtes-vous sûr que le dangereux-renégociation est pertinent pour le caniche-attck?
    Oui, très bien. L'attaque fonctionne, car il peut forcer une baisse du protocole SSL3 au lieu de TLS). En désactivant la renégociation, vous désactivez l'attaque,
    Tomber en arrière et de mécanisme de renégociation sont différents. Retomber va essayer de créer une connexion en utilisant le protocole le plus récent et essayer un de moins récente si elle échoue. La renégociation est en train de changer la connexion ssl après que la connexion est établie avec succès.

    OriginalL'auteur Davio

  3. 0

    Pour https-connexions à l'aide de java.net-paquet, vous pouvez essayer d'utiliser l'environnement de la variable _JAVA_OPTIONS pour définir le système de la propriété https.protocols:

    _JAVA_OPTIONS=-Dhttps.protocols=TLSv1,TLSv1.1,TLSv1.2

    devez activer seulement les protocoles mentionnés. Notez qu'avant Java 7, le maximum de la version prise en charge a été TLSv1.

    Cette solution n'affectera pas les autres SSL-connexions ou http-connexions en utilisant par exemple les apache-http-connecteur.

    Cela ne concerne Java clients. Vérifier ici

    OriginalL'auteur piet.t