Tomcat关于DH算法问题解决办法

最新推荐文章于 2026-03-21 00:54:40 发布
原创 最新推荐文章于 2026-03-21 00:54:40 发布 · 1.1k 阅读 · 1
标签
#网络安全
文章详细介绍了Tomcat6版本中由于支持SSLv3和Diffie-Hellman算法导致的安全问题,如LogJam漏洞,以及Firefox 39后的访问限制。为了解决这些问题,提出了两种方案:升级Tomcat到7及以上版本或采用Apache/Nginx与Tomcat整合,通过Apache的ProxyPass转发功能实现HTTPS连接。同时提供了Apache整合的配置步骤。

Tomcat 老版本存在的问题

Tomcat6的版本中是支持SSLv3和Diffie-Hellman算法的。研究人员指出,LogJam出现在常用的密钥交换加密演算法中(Diffie-Hellman key exchange),这个演算法让HTTPS、SSH、IPSec及SMTPS等网络协定产生共享的加密密钥,并建立安全连线。LogJam漏洞使黑客得以发动中间人攻击,让有漏洞的TLS连线降级为512-bit出口等级的密码交换安全性,再读取或修改经由TLS加密连线传输的资料。该漏洞情况与三月爆发的FREAK颇为类似,差别在于它是基于TLS协定的漏洞,而非实际的瑕疵,而且攻击目的为Diffie-Hellman,不是RSA的密钥交换。

Firefox 39版本后浏览器要求服务器必须关闭服务端 SSLv3存在漏洞的加密套件,否则禁止访问服务器页面,并出现 在服务器密钥交换握手信息中 SSL 收到了一个弱临时 Diffie-Hellman 密钥。(错误码: ssl_error_weak_server_ephemeral_dh_key)错误。

为彻底解决 Tomcat上默认开启SSLv3和使用弱口令算法导致的Firefox无法访问的问题,建议使用以下2个方案:

  1. 升级 Tomcat版本到7及其以上版本。
    由于升级涉及到业务系统调试和改造,推荐您视您的业务系统的正常使用而定,升级后您需要在SSL配置中配置
<Connector port="443"
protocol="org.apache.coyote.http11.Http11Protocol"
SSLEnabled="true"
maxThreads="150" 
scheme="https" 
secure="true"
keystoreFile="conf\keystore.jks"
keystorePass="password"
clientAuth="false"
sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2"
ciph
最低0.47元/天 解锁文章
vTrus2020
关注
别再让SSH裸奔了!手把手教你排查并禁用有风险的Diffie-Hellman算法组(附Nmap验证)
最新发布
weixin_42553471的博客
05-02 227
本文详细介绍了如何通过禁用弱Diffie-Hellman算法组来加固企业级SSH安全。从风险分析到实操配置,包括使用Nmap验证、编辑sshd_config、无中断重载及闭环监控,确保加密通道的安全性。特别针对CVE-2002-20001等资源管理错误漏洞提供了防御方案。
Tomcat的相对安全设置与配置(安全与漏洞)
spring_is_coming的博客
09-29 3218
前言: 近期, 系统进行了漏洞测试, 更改了很多东西, 特写一篇文章进行记录 !!! 1丶存在Apache tomcat示例文件 解决方案: 删除webapps目录下的自带项目 2丶启用了不安全的HTTP方法 解决方案: 禁用未使用到的HTTP方法 // 在web.xml文件中添加, 下面在<web-app>标签中配置 <security-constraint> <web-resource-collection> <url-pattern>/*&lt
DH密钥交换(Diffie–Hellman key exchange)算法笔记
weixin_34273046的博客
10-14 577
2019独角兽企业重金招聘Python工程师标准>>> ...
DH 算法原理
布袋和尚
04-20 1万+
一、DH算法 DH 算法其实也叫作 Diffie - Hellman 密钥交换协议,是一个不安全的秘钥共享网络协议,无法避免中间人攻击。 二、DH算法的原理 假设 Ali 和 Bob 需要互相通信并共享秘钥 Ali 先给 Bob 一个明文共享参数 、 ,此信息可以被任何人识别。 Ali 自己生成一个随机数 (Ali 的私钥) ,并不将 告诉包括 Bob 在内的任何人。 Bob自己生成一个随机数(Bob 的私钥) ,并不将 告诉包括 Ali 在内的任何人。 Ali 通过自己的私钥 对 、 ..
OpenSSH算法协议漏洞修复
Innocence_0的博客
03-02 3244
由于低版本的OpenSSH使用了过时不安全的加密算法协议,通常OpenSSH在版本迭代更新时会弃用这些不安全的加密算法。如果我们仍要继续使用旧版本的OpenSSH,可以根据实际情况,考虑屏蔽掉不安全的加密算法,以降低安全风险。
DH/DHE密钥交换算法-弱算法
weixin_44184011的博客
01-26 1184
针对DHE算法的攻击,主要是中间人攻击,攻击者可以进行一些提前的运算,然后可以采用被动监听或者中间劫持的方式对加密的流量进行监听和解密。DH(Diffie–Hellman)算法,根据私钥的生成方式,DH 算法可以分为两种实现:DHE 算法 和 static 算法(已废弃)。3、BIGIP DHE使用1024位密钥,对于1024位的密钥要花大量的资源进行计算,个人或者组织很难进行这种大量的计算。6、DHE算法可进行硬件SSL加速,而ECDHE算法只能通过CPU处理,所以BIGIP默认允许DHE算法
Spring Boot和Tomcat项目修复SSL/TLS Diffie-Hellman密钥过弱问题的完整指南
weixin_29291573的博客
03-21 218
本文详细介绍了如何修复Spring Boot和Tomcat项目中SSL/TLS Diffie-Hellman密钥过弱的问题,包括生成强DH参数、配置现代加密套件以及验证安全状态。适用于需要满足等保测评要求的企业,帮助开发者提升Web应用的安全性。
Tomcat Diffie-Hellman密钥交换不足DH组强度漏洞修复
张林强的专栏
02-22 2529
Apache Tomcat In theserver.xmlfile (for JSSE) Cipher Suites <Connector ciphers="TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_DHE_RSA_..
Could not generate DH keypair
weixin_33699914的博客
04-29 95
java7 tomcat 发布项目时,同一个tomcat挂在两个项目时,带用https,会报出Could not generate DH keypair当把两个项目拆分到不通的tomcat时,该问题被解决,很神奇,有知道原因的,请回复,谢谢! 转载于:https://blog.51cto.com/tinyking/1404335...
Tomcat配置SSL证书
云下的你
06-24 1万+
一、免费证书 找到一个免费提供 HTTPS 证书申请、HTTPS 证书管理和 HTTPS 证书到期提醒服务的网站,分享给大家 申请免费证书 二、申请证书 2.1 填写域名,点击创建免费的SSL证书 2.2 填写邮箱,点击创建 1)证书类型默认为 RSA RSA 和 ECC 有什么区别呢?可以通过下面几段文字了解一下。 HTT...
9. PKI - 三种密钥交换算法详解(RSA& DHE& ECDHE)及他们在SSL/TLS协议中的应用
ttyy1112的专栏
08-03 7185
9. PKI - 三种密钥交换算法详解(RSA& DHE& ECDHE)及他们在SSL/TLS协议中的应用RSA密钥交换算法DHE密钥交换算法ECDHE密钥交换算法参考 密钥交换算法的介绍稍稍来迟了一些,密钥交换算法应该在介绍SSH、SSL/TLS协议之前优先介绍。不过 Latter better than nerver ! RSA密钥交换算法 RSA算法流程文字描述如下: (1)任意客户端对服务器发起请求,服务器首先发回复自己的公钥到客户端(公钥明文传输)。 (2)客户端使用随机数算法,生
DHDHE、ECDHE加密算法
迷雾总会解
09-12 5226
于是,DH 交换密钥时就只有客户端的公钥是变化,而服务端公钥是不变的,那么随着时间延长,黑客就会截获海量的密钥协商过程的数据,因为密钥协商的过程有些数据是公开的,黑客就可以依据这些数据暴力破解出服务器的私钥,然后就可以计算出会话密钥了,于是之前截获的加密数据会被破解,所以 static DH 算法不具备前向安全性。但反过来,知道真数却很难推算出对数。static DH 算法里有一方的私钥是静态的,也就说每次密钥协商的时候有一方的私钥都是一样的,一般是服务器方固定,即 a 不变,客户端的私钥则是随机生成的。
SSL/TLS中的DH算法DHE算法、 ECDHE算法介绍
遇见你是我最美丽的意外
09-16 8427
❤️SSL/TLS专栏导航页❤️ 文章目录1. DH算法简介2. DH算法协商流程3. DH算法证明4. SSL/TLS中的DH算法 1. DH算法简介 Diffie-Hellman密钥交换算法是在1976年由这两个人发明的算法。它可以在不安全的网络中,通过交换一些公开的信息协商出共享密钥,使用此共享密钥建立安全通讯。它实际上并没有直接交换密钥,而是通过数学计算,得出共享密钥。 有限域的离散对数问题的复杂度正是支撑DH密钥交换算法的基础。 ⚠️⚠️⚠️ DH算法属于非对称算法DH算法专利已经与.
一份关于windows server服务器的安全漏洞处理建议(来自绿盟安全评估)
分享型博主
07-26 8360
文章来自一份绿盟安全评估中的服务器漏洞扫描分析结果,据市场研究公司Gartner研究报告称“实施漏洞管理的企业会避免近90%的攻击”。可以看出,及时的漏洞修补可以在一定程度上防止病毒、攻击者的威胁。这个报告是合作单位的服务器安全评估出来的,帮忙协助处理下,希望对看到的小伙伴有所帮助,有问题咱们一起讨论实践哦。
SSL/TLS 服务器瞬时 Diffie-Hellman 公共密钥过弱
热门推荐
hongweibing1的专栏
11-21 1万+
详细描述 安全套接层(Secure Sockets Layer,SSL),一种安全协议,是网景公司(Netscape)在推出Web浏览器首版的同时提出的,目的是为网络通信提供安全及数据完整性。SSL在传输层对网络连接进行加密。传输层安全TLS(Transport Layer Security),IETF对SSL协议标准化(RFC 2246)后的产物,与SSL 3.0差异很小。  当服务
一份关于windows server服务器的安全漏洞处理建议(来自绿盟安全评估)_允许traceroute探测漏洞(1)
2401_84545291的博客
05-13 2570
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
一份关于windows server服务器的安全漏洞处理建议(来自绿盟安全评估)_允许traceroute探测漏洞
2401_84252820的博客
05-04 2533
文章来由,友商服务器最近做了一次安全评估,领导让协助处理下漏洞修复。根据这份绿盟安全评估中的服务器漏洞扫描分析结果,做了下面的修复过程和总结,希望对看到小伙伴有帮助。提问:为什么要做安全漏洞修补?据市场研究公司Gartner研究报告称“实施漏洞管理的企业会避免近90%的攻击”。可以看出,及时的漏洞修补可以在一定程度上防止病毒、攻击者的威胁。
Apache的管理及优化
qiqi407121的博客
01-31 561
Apache用于提供超文本传输协议,本质上是一个软件。超文本传输协议:http://,提供该协议的软件一般有:Apache、nginx、stgw、jfe、Tengine,而Apache在网页应用中使用比较广泛,比如百度所使用的就是该软件。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值