为 Spring Boot 应用程序启用 RC4 密码套件
Posted
技术标签:
【中文标题】为 Spring Boot 应用程序启用 RC4 密码套件【英文标题】:Enabling RC4 cipher suite for Spring Boot Application 【发布时间】:2015-06-23 19:10:02 【问题描述】:我正在尝试在 Spring Boot 应用程序中启用 RC4 密码套件(该应用程序仅支持 JSEE 密码套件http://docs.oracle.com/javase/7/docs/technotes/guides/security/SunProviders.html)
上面的链接有这么多的 RC4 密码套件,应该启用所有密码套件以避免 BEAST 攻击?有没有办法在 Spring Boot 应用程序中仅支持 TLS v1.0 的 RC4 密码?
【问题讨论】:
【参考方案1】:您的信息有点过时了。是的,RC4 可用于缓解 BEAST 攻击。 RC4 关于 BEAST 的积极因素是它是流密码,而不是分组密码。
但是 RC4 作为一种加密算法有几个弱点可以用来攻击加密本身。
因此,一般的安全建议是完全禁用 RC4 密码。
最好升级您的系统并仅使用 TLS 1.2 连接。这也可以防止 BEAST。
【讨论】:
我知道它在 Apache 中很容易配置,但是如何在 Spring Boot 应用程序中禁用 TLS 1.2 之前的版本? Spring Boot 开发人员似乎没有意识到需要配置启用的 SSL/TLS 版本,他们依赖于默认的 Tomcat 设置:github.com/spring-projects/spring-boot/issues/2109以上是关于为 Spring Boot 应用程序启用 RC4 密码套件的主要内容,如果未能解决你的问题,请参考以下文章
为 Spring Boot 驱动的 Vaadin 应用程序启用服务器推送不起作用
如何在我的 Spring Boot Security OAuth2 应用程序中仅为某些类启用 OAuth2?
如何在 Spring Boot / Spring Data 中为 Amazon RDS Mysql 启用 SSL?