Java 8アップデート後のRC4関連の問題

Question

Java RC4の以前のバージョンでは、私のアプリケーションはうまくいきましたが、Java 8 U 77のアップデート後、次のいずれかの暗号を使用する必要はありません。私のレガシーサーバー。

TLS_ECDHE_ECDSA_WITH_RC4_128_SHA 
TLS_ECDHE_RSA_WITH_RC4_128_SHA 
SSL_RSA_WITH_RC4_128_SHA 
TLS_ECDH_ECDSA_WITH_RC4_128_SHA 
TLS_ECDH_RSA_WITH_RC4_128_SHA 
SSL_RSA_WITH_RC4_128_MD5 

jdk.certpath.disabledAlgorithms=MD2, RSA keySize < 1024 

それでも私が働いて上記のスイートを取得することはできません、私はjava.securityを修正し、無効なアルゴリズムセクションには、以下のように見えます。それらを有効にする考えは、私もアプリケーションを実行するときにそれらを追加しようとしました

java -Djavax.net.debug=all -Djavax.net.debug=ssl:handshake:verbose -Dhttps.cipherSuites="TLS_ECDHE_ECDSA_WITH_RC4_128_SHA,TLS_ECDHE_RSA_WITH_RC4_128_SHA,SSL_RSA_WITH_RC4_128_SHA,TLS_ECDH_ECDSA_WITH_RC4_128_SHA,TLS_ECDH_RSA_WITH_RC4_128_SHA,SSL_RSA_WITH_RC4_128_MD5" <myApp> 

まだ運がありません。

Answer 1

release notes of Oracle JRE 8u51はRC4が追加されているためにjdk.tls.legacyAlgorithmsと呼ばれる新しいセキュリティプロパティを言及：

RC4は現在、弱い暗号として考えられています。サーバは、クライアントが要求した暗号スイートに他に強力な候補がない限り、RC4を選択しないでください。新しいセキュリティプロパティjdk.tls.legacyAlgorithmsが追加され、Oracle JSSE実装のレガシーアルゴリズムを定義します。 RC4関連アルゴリズムがレガシーアルゴリズムリストに追加されます。

java.securityファイルのプロパティリストからRC4_40を削除してもう一度使用できるとします。

Answer 2

この問題を修正するには、RC4とMD5を有効にする必要があります（どちらも現在、侵害されたアルゴリズムとして扱われています）。これは、「java.security」設定を変更することによって（jdk.tls.disabledAlgorithms、jdk.certpath.disabledAlgorithmsからRC4とMD5を削除して）、上記の「Absences暗号スイート」を「SSLSocket/SSLEngine.setEnabledCipherSuites（） " RC4関連の暗号を追加する方法の詳細については、Java 8リリースのハイライト（https://java.com/en/download/faq/release_changes.xml）と次のリファレンス（http://bugs.java.com/view_bug.do?bug_id=8076221）のJava 8 Update 60（8u60）セクションを参照してください。