gpt4 book ai didi

java - 修复 POODLE 问题,需要有关 SSLContext.getInstance ("TLS"的帮助)

转载 作者:太空宇宙 更新时间:2023-11-03 14:13:02 46 4
gpt4 key购买 nike

全部,

我正在修复代码中的安全漏洞问题(参见下面的链接)。 http://googleonlinesecurity.blogspot.com/2014/10/this-poodle-bites-exploiting-ssl-30.html

在某些地方,我们使用了以下 ssl 上下文来进行安全通信

SSLContext.getInstance("TLS")(包:javax.net.ssl)。

  1. 我知道 getInstance 采用协议(protocol)字符串值,但问题是“TLS”按值表示什么,即它与 TLS1.0 相同吗?同样,“SSL”的值是什么意思,它与“SSLv3”相同吗?

  2. 有没有办法在创建上下文时提及“TLS_FALLBACK_SCSV”来修复此漏洞?我们正在考虑的一种方法是禁用 ssl 并仅使用 TLS1.2,但为了使其向后兼容,是否有一种方法可以指定文章中提到的回退选项,如果有的话,这个选项可以在创建时传递给 api 调用ssl 上下文?

谢谢!桑托斯

最佳答案

我一直在研究同样的问题。简而言之,SSLContext.getInstance("TLS") 不会将 SSLv3 从支持的协议(protocol)列表中排除。您必须在 SSLServerSocketSSLSocket(适合您的用例)上使用 setEnabledProtocols() 方法。

关于java - 修复 POODLE 问题,需要有关 SSLContext.getInstance ("TLS"的帮助),我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/26480988/

46 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com