Definição de cifras SSL defining-ssl-ciphers

A tag Connector no server.xml oferece suporte a um atributo de cifras para limitar as cifras que podem ser escolhidas para uma conexão SSL.

Por padrão, todas as cifras estão disponíveis. A lista é separada por vírgulas e pode conter qualquer um dos seguintes valores:

SSL_DHE_DSS_EXPORT_WITH_DES40_CBC_SHA

SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA

SSL_DHE_DSS_WITH_DES_CBC_SHA

SSL_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA

SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA

SSL_DHE_RSA_WITH_DES_CBC_SHA

SSL_RSA_EXPORT_WITH_DES40_CBC_SHA

SSL_RSA_EXPORT_WITH_RC4_40_MD5

SSL_RSA_WITH_DES_CBC_SHA

SSL_RSA_WITH_RC4_128_MD5

SSL_RSA_WITH_RC4_128_SHA

TLS_DHE_DSS_WITH_AES_128_CBC_SHA

TLS_DHE_RSA_WITH_AES_128_CBC_SHA

Se qualquer um dos valores estiver errado, o Tomcat ativará cada cifra. Portanto, é essencial verificar com uma ferramenta externa após a configuração para ver quais cifras estão realmente ativadas.

Como exemplo, a configuração a seguir habilita apenas os conjuntos de cifras de "128 bits" e superiores:

ciphers="SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA,SSL_DHE_DSS_WITH_DES_CBC_SHA,SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA,TLS_DHE_DSS_WITH_AES_128_CBC_SHA,TLS_DHE_RSA_WITH_AES_128_CBC_SHA"