SSL/TLS Einstellungen (HTTPS)

Um Sicherheitsstandards hoch zu halten, können veraltete SSL/TLS Algorithmen deaktivert werden. Dies ist global in der Datei java.security für alle Java-Prozesse möglich.

Die Datei findet sich im jre/lib/security-Ordner der Java-Installation.

Dort muss hierfür die Zeile mit der Property

jdk.tls.disabledAlgorithms

angepasst werden. Kommagetrennt können die zu deaktiverenden Algrithmen angegeben werden. Es empfiehlt sich, falls keine Kompatibilitätsgründe dagegen sprechen, die Werte

TLSv1, TLSv1.1

dort hinzuzufügen.

Falls auch bestimmte Cipher-Suites deaktiviert werden sollen können diese auch in der oben genannten Property eingetragen werden.
Um zum Beispiel Cipher-Suites baiserend auf 3DES zu deaktivieren muss

DESede, DES

in der Property angeführt sein.

Konfiguration mittels Properties (ab DLE 2.1.1)

Für den eingebetteten Jetty-Server kann über Systemproperties eingeschränkt werden, welche TLS/SSL Protokolle und Ciphers nicht verwendet werden dürfen. Folgende Properties sind verfügbar:

dle.jetty.ssl.excludedSslProtocols: Kommagetrennte Liste von Protokollen, die explizit verboten werden sollen. Zusätzilch zu denen im Java-Release gelisteteten Protokollen werden ab DLE-Version 2.1.1 TLSv1 und TLSv1.1 fix deaktiviert.

dle.jetty.ssl.excludedCipherSuites: Kommagetrennte Liste von Cipher Suites, die explizit verboten werden sollen. Zusätzilch zu denen im Java-Release gelisteteten Cipersuites werden ab DLE-Version 2.1.1 DES und DESede fix deaktiviert.

Diese Systemproperties können über die startupParams.xml-Datei (mit D-Präfix) oder über die Kommandozeile gesetzt werden (mit -D Präfix).

Mögliche Protokolle und Listen finden sich in der Dokumentation der Java Runtime, die verwendet wird. So zum Beispiel unter:

https://docs.oracle.com/javase/8/docs/technotes/guides/security/SunProviders.html#SunJSSEProvider