SSL 暗号の定義 defining-ssl-ciphers

server.xml のコネクタタグでは、SSL 接続に選択できる暗号を制限する ciphers 属性をサポートしています。

デフォルトでは、すべての暗号を使用できます。 リストはコンマで区切られ、次の値のいずれかを含めることができます。

SSL_DHE_DSS_EXPORT_WITH_DES40_CBC_SHA

SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA

SSL_DHE_DSS_WITH_DES_CBC_SHA

SSL_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA

SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA

SSL_DHE_RSA_WITH_DES_CBC_SHA

SSL_RSA_EXPORT_WITH_DES40_CBC_SHA

SSL_RSA_EXPORT_WITH_RC4_40_MD5

SSL_RSA_WITH_DES_CBC_SHA

SSL_RSA_WITH_RC4_128_MD5

SSL_RSA_WITH_RC4_128_SHA

TLS_DHE_DSS_WITH_AES_128_CBC_SHA

TLS_DHE_RSA_WITH_AES_128_CBC_SHA

いずれかの値が間違っている場合、Tomcat はすべての暗号を有効にします。 したがって、どの暗号が実際に有効になっているかを確認するには、設定後に外部ツールで確認する必要があります。

例えば、次の設定では「128 ビット」暗号スイート以降のみを有効にします。

ciphers="SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA,SSL_DHE_DSS_WITH_DES_CBC_SHA,SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA,TLS_DHE_DSS_WITH_AES_128_CBC_SHA,TLS_DHE_RSA_WITH_AES_128_CBC_SHA"