SSLからTomcatのTLS 1.2に移行する場合のメリット

Question

私たちはtomcat 6でアプリケーションをホストしています。SSLが使用されており、TLS 1.2に移行する必要があります。これらのことを初めて知りましたので、以下の質問にお答えください。 1. TLS 1.2に移行するとどのような利点がありますか？ 2.課題は何ですか？ 3.サーバーレベルとネットワークレベルで何を変更する必要がありますか？

Answer 1

これはかなり広い質問ですが、私はすぐに答えようとします。

1. 利点は、我々がTLSv1.2

に移行する場合は、TLSv1.2に移動する規制要件を有することができるどのようなものです。 （例：PCI-DSS、HIPAA/HITECHなど）、より良い理由があります。上位バージョンのプロトコルをサポートすると、全体的にセキュリティが向上します。 は完全に SSLv3を無効にし、TLSv1以降を使用することをお勧めします。一般的に、ソフトウェアでかなり最新のユーザーコミュニティがあれば、TLSv1.2に移行し、より低いプロトコルを気にする必要はありません。すべてのTLSv1、TLSv1.1、およびTLSv1.2をすべて単一の構成で確実にサポートできます。

以降のバージョンの仕様では、より効率的な楕円曲線（EC）アルゴリズムと同様に、一時鍵協定（EDHE）を含む暗号スイートを含むより優れた暗号スイートを使用できます。これらの暗号スイートは、プライバシおよびセキュリティ（フォワードセキュリティなど）の向上とパフォーマンスの向上を実現します（ECは、RSAなどの暗号化と同じ「レベル」の暗号化でより高速です）。

2. どのような課題がありますか？ TLSv1.2をサポートするために

は、Java 1.7以降にごJREをアップグレードする必要があります。私はあなたがこの時点でJava 1.8にかかわらずでなければならないと主張します。

TomcatはJREでサポートされているアルゴリズムとプロトコルを使用しますが、Tomcat 6などのデフォルト設定では、より良いプロトコルを有効にするために設定を少し変更する必要があります。 。

3a。サーバーレベルで何を変更する必要がありますか？

基本的には、SSLv3を無効にしてTLSv1.2ですべてを有効にする必要があります。

<Connector sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2" [...] 

図3b：実際には、それはあなたの<Connector>設定は次のようになりますことを意味します。ネットワークレベルでどのような変更を行う必要がありますか？

全くありません。