Definizione delle crittografie SSL defining-ssl-ciphers
Il tag Connector in server.xml supporta un attributo ciphers per limitare le cifrature che possono essere scelte per una connessione SSL.
Per impostazione predefinita, sono disponibili tutte le crittografie. L’elenco è separato da virgole e può contenere uno qualsiasi dei seguenti valori:
SSL_DHE_DSS_EXPORT_WITH_DES40_CBC_SHA
SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA
SSL_DHE_DSS_WITH_DES_CBC_SHA
SSL_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA
SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA
SSL_DHE_RSA_WITH_DES_CBC_SHA
SSL_RSA_EXPORT_WITH_DES40_CBC_SHA
SSL_RSA_EXPORT_WITH_RC4_40_MD5
SSL_RSA_WITH_DES_CBC_SHA
SSL_RSA_WITH_RC4_128_MD5
SSL_RSA_WITH_RC4_128_SHA
TLS_DHE_DSS_WITH_AES_128_CBC_SHA
TLS_DHE_RSA_WITH_AES_128_CBC_SHA
Se uno qualsiasi dei valori è errato, Tomcat abilita ogni singolo cifrario. È quindi essenziale verificare con uno strumento esterno, dopo la configurazione, quali crittografie sono effettivamente abilitate.
Ad esempio, la seguente configurazione abilita solo le suite di cifratura "a 128 bit" e versioni successive:
ciphers="SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA,SSL_DHE_DSS_WITH_DES_CBC_SHA,SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA,TLS_DHE_DSS_WITH_AES_128_CBC_SHA,TLS_DHE_RSA_WITH_AES_128_CBC_SHA"