Tomcat6+JDK6如何加固，解決Logjam attack,

最近更新了最新版瀏覽器的同學是不是偶爾會遇到SSL加密協議不靈，訪問不了的情況？

最典型的例子是使用FF39或38.0.2訪問某些網站時報錯：Error code: ssl_error_weak_server_ephemeral_dh_key

這是由于你的客戶端（FF39）廢棄了DHE、RC4密碼，而服務器端默認使用DHE、RC4加密的密鑰嘗試與客戶端進行通信，結果客戶端就報錯了。

解決辦法：

1、首先你要確保你的密鑰（證書）加密長度>1023bit，因為<1023bit FF會認為不安全。自簽名證書的，自己去看看怎么把key size設置為1024或大于1024。如果是CA機構簽名的，就需要去CA機構申請重新簽名更換證書。

2、服務器SSL設置中，要disable DHE cipher suites，要disable TLSv2 TLSv3，啟用TLSv1，TLSv1.1，TLSv1.2。

3、服務器SSL設置中還要明確指定可以使用的cipher suites。如果是tomcat6+JDK6，那么以下cipher suites可用：

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA

TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA

TLS_ECDH_RSA_WITH_AES_256_CBC_SHA

TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA

TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA

TLS_ECDH_RSA_WITH_AES_128_CBC_SHA

TLS_ECDH_ECDSA_WITH_RC4_128_SHA

TLS_ECDH_RSA_WITH_RC4_128_SHA

TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA

TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA

TLS_ECDH_ECDSA_WITH_3DES_EDE_CBC_SHA

TLS_ECDH_RSA_WITH_3DES_EDE_CBC_SHA

TLS_RSA_WITH_AES_256_CBC_SHA

TLS_RSA_WITH_AES_128_CBC_SHA

配置例子：

打開tomcat的server.xml，參考以下配置：

<Connector protocol="org.apache.coyote.http11.Http11Protocol" URIEncoding="UTF-8" port="9090" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="false" protocols="TLSv1,TLSv1.1,TLSv1.2" keystoreFile="k.keystore" keystorePass="a123456" truststoreFile="k.keystore" truststorePass="a123456" ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA,TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA,TLS_ECDH_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA,TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA,TLS_ECDH_RSA_WITH_AES_128_CBC_SHA,TLS_ECDH_ECDSA_WITH_RC4_128_SHA,TLS_ECDH_RSA_WITH_RC4_128_SHA,TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA,TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA,TLS_ECDH_ECDSA_WITH_3DES_EDE_CBC_SHA,TLS_ECDH_RSA_WITH_3DES_EDE_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA"/>

參考資料：

https://developer.mozilla.org/en-US/Firefox/Releases/39/Site_Compatibility

https://weakdh.org/

https://weakdh.org/sysadmin.html

https://weakdh.org/logjam.html

https://en.wikipedia.org/wiki/Diffie%E2%80%93Hellman_key_exchange