java修复贵宾犬问题,需要SSLContext帮助。getInstance(“TLS”)
全部
Iam正在修复代码中的安全漏洞问题(请参见下面的链接)。 http://googleonlinesecurity.blogspot.com/2014/10/this-poodle-bites-exploiting-ssl-30.html
在一些地方,我们使用了下面的ssl上下文来进行安全通信
SSLContext。getInstance(“TLS”)(包:javax.net.ssl)
我知道getInstance接受一个协议字符串值,但问题是“TLS”的值是什么意思,即它和TLS1相同吗。0? 类似地,“SSL”的值是什么意思,它与“SSLv3”相同吗
在创建修复此漏洞的上下文时,是否有方法提及“TLS_FALLBACK_SCSV”?我们考虑的一种方法是禁用ssl,只使用TLS1。2,但为了使其向后兼容,是否有一种方法可以指定本文中提到的回退选项,该选项(如果有)可以在创建ssl上下文时传递给api调用
谢谢! 桑托什
# 1 楼答案
我一直在研究同一个问题。简而言之,
SSLContext.getInstance("TLS")并不将SSLv3从支持的协议列表中排除。您必须在SSLServerSocket或SSLSocket上使用setEnabledProtocols()方法(以适合您的用例为准)