SSLContext initialisation

Je suis à la recherche à la JSSE guide de référence, j'ai besoin de pour obtenir une instance de SSLContext afin de créer un SSLEnginedonc je peux l'utiliser avec Netty pour activer la sécurité.

Pour obtenir une instance de SSLContextj'utilise SSLContext.getInstance(). Je vois que la méthode est substituée à plusieurs reprises, je ne peux donc choisi le protocole et le fournisseur de services de sécurité à utiliser.

IciJe peux voir la liste des algorithmes qui peuvent être utilisés. L'algorithme doit-je utiliser pour sécuriser la communication?

Aussi, car il est possible de spécifier le fournisseur de sécurité pour l'utilisation, le fournisseur qui dois-je utiliser?

Grâce

source d'informationauteur Mickael Marrache

  1. 25

    Comme vous pouvez le voir dans la des noms standard de la documentationtoutes les entrées (SSLv3, TLSv1.0, TLSv1.1, ...) disent qu'ils peuvent soutenir les autres versions.

    Dans la pratique, dans l'Oracle JDK (et OpenJDK), elles le sont toutes. Si vous regardez la le code sourcele TLS10Context classe est ce qui est utilisé pour le protocole TLS, SSL, SSLv3 et TLS10, TLS11Context est utilisé pour TLSv1.1 et TLS12Context pour TLSv1.2. Tous en charge toutes les versions de SSL/TLS, il est ce qui est activée par défaut qui varie.

    Cela peut être différent avec un autre fournisseur ou JRE vendeur. Il convient évidemment d'en choisir un qui est au moins va soutenir la version de protocole que vous souhaitez utiliser.

    Noter que le protocole utilisé est déterminé plus tard sur l'utilisation de SSLSocket.setEnabledProtocols(...) ou de ses SSLEngine équivalent.

    En règle générale, utilisez la version la plus récente numéro, vous pouvez (SSLv3 < TLSv1.0 < TLSv1.1 ...), qui peuvent dépendre de ce que les parties avec lesquelles vous souhaitez communiquer de soutien.

    Dont les protocoles sont activés par défaut varie en fonction de la version exacte de l'Oracle JRE.

    Lorsque l'on regarde le code source pour sun.de sécurité.le protocole ssl.SunJSSE dans OpenJDK 7u40-b43TLS est tout simplement un alias pour TLSv1 (et sont donc SSL et SSLv3), en termes de SSLContext protocoles. En regardant les différents les implémentations de SSLContextImpl (qui sont les classes internes de SSLContextImpl lui-même):

    • Tous soutenir tous les protocoles.
    • Tous les protocoles sont activés sur le serveur par défaut.
    • le côté client protocoles activés par défaut varient:
      • TLS10Context (utilisé pour le protocole SSLSSLv3TLSTLSv1) permet de SSLv3 de TLSv1.0 par défaut sur le côté client.
      • TLS11Context (utilisé pour le protocole TLSv1.1) permet également de TLSv1.1 par défaut.
      • TLS12Context (utilisé pour le protocole TLSv1.2) permet également de TLSv1.2 par défaut.
    • Si FIPS est activé, SSL n'est pas pris en charge (donc pas activé par défaut).

    Cette évolution de Java 8, en collaboration avec la nouvelle jdk.tls.client.les protocoles système de la propriété.

    Encore une fois, quand on regarde le code source pour sun.de sécurité.le protocole ssl.SunJSSE dans OpenJDK 8u40-b25SSLContext protocoles TLSv1TLSv1.1et TLSv1.2 également faire usage de TLS10ContextTLS11Context et TLS12Contextqui suivent la même logique que dans Java 7.

    Toutefois, le protocole TLS n'est plus un alias pour l'un d'eux. Au contraire, il utilise TLSContext qui s'appuie sur les valeurs de la jdk.tls.client.protocols propriétés du système. À partir de la JSSE guide de Référence:

    Afin de permettre à une SunJSSE protocoles sur le client, indiquez-les dans une liste séparée par des virgules à l'intérieur des guillemets; tous les autres protocoles pris en charge sont alors désactivés sur le client. Par exemple, si la valeur de cette propriété est "TLSv1,TLSv1.1", la valeur par défaut des paramètres du protocole sur le client pour TLSv1 et TLSv1.1 sont activés sur le client, tout en SSLv3, TLSv1.2, et SSLv2Hello sont désactivés sur le client.

    Si cette propriété est vide, tous les protocoles sont activés par défaut sur le client et côté serveur.

    Bien sûr, dans les dernières versions d'Oracle JRE 8, SSL est également complètement désactivé par défaut (si éloignée de ces listes).

    Noter que dans les deux cas (JRE 7 et 8), la SSLContext vous obtenez par défaut via SSLContext.getDefault() de la boîte est plus ou moins équivalent à un SSLContext obtenus avec le protocole TLS et initialisée avec la valeur par défaut truststore paramètres et ainsi de suite.

  2. 3

    Il n'y a pas de valeur par défaut pour le protocole, je voudrais donc utiliser la plus récente prise en charge par votre JDK, qui est soit TLSv1, TLSv1.1 ou TLSv1.2: voir ce qui fonctionne, ou jeter un oeil à getSupportedProtocols(). Le fournisseur de sécurité par défaut est utilisé en évitant tous les APIs où vous le préciser, ou autre par exemple KeyStore.getDefaultType().

    Et quand vous venez d'obtenir votre SSLEngines, assurez-vous d'utiliser la méthode qui prend un nom d'hôte et le port. Sinon, vous n'aurez pas de session SSL partage.