У меня есть требование отключить слабые шифры TLS (128 бит)
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (0xc027) ECDH secp256r1 (eq. 3072 bits RSA) FS WEAK 128
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (0xc013) ECDH secp256r1 (eq. 3072 bits RSA) FS WEAK 128
TLS_RSA_WITH_AES_128_GCM_SHA256 (0x9c) WEAK 128
TLS_RSA_WITH_AES_128_CBC_SHA256 (0x3c) WEAK 128
TLS_RSA_WITH_AES_128_CBC_SHA (0x2f) WEAK 128
Мое приложение работает на сервере JBOSS wildfly 10 в экземпляре Amazon EC2, запущенном балансировщиком нагрузки приложения. Я попытался изменить приведенное ниже изменение в standalone.xml. Но это не помогло мне.
Хотя у меня нет 128-битных шифров, упомянутых в standalone.xml, ssllabs показывал мне 128 слабых шифров, как указано выше. Я подозреваю, что значения шифров берутся из политики безопасности, установленной на уровне балансировки нагрузки приложений. У нас ELBSecurityPolicy-TLS-1-2-Ext-2018-06 политика безопасности связана с нашим ALB (мы должны включить только протокол TLS 1.2).
Поскольку мы не можем настроить политику безопасности на уровне ALB, есть ли способ, которым я могу этого достичь?
Добавлено ниже конфигурации в standalone.xml. Это не сработало.
<https-listener name="https" socket-binding="https" no-request-timeout="300000" security-realm="CertificateRealm" enabled-protocols="TLSv1.2" enabled-cipher-suites="TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA"/>