Definición de cifrados SSL defining-ssl-ciphers
La etiqueta Connector de server.xml admite un atributo ciphers para limitar los cifrados que se pueden elegir para una conexión SSL.
De forma predeterminada, todas las cifras están disponibles. La lista está separada por comas y puede contener cualquiera de los siguientes valores:
SSL_DHE_DSS_EXPORT_WITH_DES40_CBC_SHA
SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA
SSL_DHE_DSS_WITH_DES_CBC_SHA
SSL_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA
SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA
SSL_DHE_RSA_WITH_DES_CBC_SHA
SSL_RSA_EXPORT_WITH_DES40_CBC_SHA
SSL_RSA_EXPORT_WITH_RC4_40_MD5
SSL_RSA_WITH_DES_CBC_SHA
SSL_RSA_WITH_RC4_128_MD5
SSL_RSA_WITH_RC4_128_SHA
TLS_DHE_DSS_WITH_AES_128_CBC_SHA
TLS_DHE_RSA_WITH_AES_128_CBC_SHA
Si alguno de los valores es incorrecto, Tomcat activa cada cifrado individual. Por lo tanto, es esencial consultar con una herramienta externa después de la configuración para ver qué cifrados están realmente activados.
Por ejemplo, la siguiente configuración solo habilita los grupos de cifrados de "128 bits" y superiores:
ciphers="SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA,SSL_DHE_DSS_WITH_DES_CBC_SHA,SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA,TLS_DHE_DSS_WITH_AES_128_CBC_SHA,TLS_DHE_RSA_WITH_AES_128_CBC_SHA"