Предоставляет ли bouncyCastle возможность TLS?

Question

Мне кажется, я должен предложить какое-то объяснение, почему я хочу реализовать то, что кажется плохим решением ...

Я системный администратор, а не java программист, и унаследовал большой и разнообразный набор приложений, работающих под управлением Java 1.7 в Tomcat.

Несмотря на то, что я стремлюсь обновить их все, это требует времени и сотрудничества команды разработчиков. Моя самая большая проблема (довольно актуальная) - это удаление SSLv3, TLS / 1.0 и TLS / 1.1 из сети. Завершение SSL для входящих соединений обрабатывается прокси-сервером, поэтому я могу (в принципе) прекратить обнаруживать уязвимости в службах там, однако это нарушит интеграцию между компонентами, работающими в отдельных JVM и взаимодействующими через HTTPS (например, аутентификация CAS).

(да, я мог бы запустить отдельные внутренние / внешние прокси или использовать прямую адресацию в обход прокси-сервера .... но это кажется еще большим взломом)

Что подводит меня к моему вопросу ....

Предоставляет ли BouncyCastle только наборы шифров или TLS?

Если я установлю bouncycastle в качестве поставщика , смогут ли эти старые java приложения выполнять запросы клиентов HTTPS с использованием TLS / 1.2 или требуются дальнейшие изменения кода?

Answer 1

Поставщик BouncyCastle позволит вам использовать шифры, не поддерживаемые jvm. Однако, в зависимости от вашей версии jvm, протокол tls 1.2 может не поддерживаться. Похоже, java 7 должна быть в состоянии поддерживать его.

В любом случае, для обеспечения использования tls1.2 вам потребуется дополнительная настройка, но не обязательно изменения кода. Ваши серверы должны быть настроены на его использование исключительно (конфигурация может быть указана поставщиком c). Ваши клиенты могут быть настроены на использование только tls1.2 (например, с использованием -Dhttps.protocols).

См. https://blogs.oracle.com/java-platform-group/diagnosing-tls, - ssl, -and-https для получения дополнительной информации. .