Doporučení k vydání Dell BSAFE SSL-J 7.0

Shrnutí: Tým Dell BSAFE oznamuje vydání nástroje Dell BSAFE SSL-J 7.0, které přidává podporu protokolu TLS 1.3 pomocí ověřené kryptografie FIPS 140.

Tento článek se vztahuje na Tento článek se nevztahuje na Tento článek není vázán na žádný konkrétní produkt. V tomto článku nejsou uvedeny všechny verze produktu.
Podívejte se na další zdroje

Pokyny

Původně publikováno 13. dubna 2021

Popis

Tým Dell BSAFE vydává verzi softwaru Dell BSAFE SSL-J 7.0 (SSL-J). Tato verze obsahuje software Dell BSAFE Crypto-J 6.2.5.1 (Crypto-J), který jako základního poskytovatele FIPS používá softwarový modul Dell BSAFE Crypto-J Jsafe a JCE 6.2.5. 

Poznámka: Integrovaný Crypto-J je součástí dodávky, která řeší problémy s kompatibilitou vyžadované k výrobě SSL-J. Samostatná verze softwaru Crypto-J bude poskytnuta později, pokud to společnost Dell Technologies bude považovat za nezbytné.
 

Tato verze SSL-J je navržena tak, aby poskytovala následující novou funkci:

  • Implementace protokolu TLS 1.3 (RFC 8446).
  • Podpora vlastností pro protokol TLS 1.3:
    • Byla přidána podpora následujících nových vlastností:
           com.rsa.ssl.compatibility.tls13.middlebox
           com.rsa.ssl.server.forcehrr
           com.rsa.ssl.tlsextensions.client.keyshares
           com.rsa.ssl.tlsextensions.server.cookie
           com.rsa.sslj.supported.signature.schemes
           com.rsa.sslj.supported.certificate.signature.schemes
  • Byla přidána podpora dříve nepodporované vlastnosti
           jdk.tls.keyLimits
  • Byla přidána podpora protokolu TLS 1.3 pro následující vlastnost:
           jdk.tls.disabledAlgorithms
  • Byla přidána podpora protokolu TLS 1.3 a TLS 1.2 pro dříve nepodporovanou vlastnost:
           jdk.tls.namedGroups
  • Implementace rozšíření Certifikační autority pro protokol TLS 1.3 (RFC 8446).
  • Implementace rozšíření žádosti o stav certifikátu, sešívání OCSP, pro protokoly TLS 1.2 a TLS 1.3. (RFC 6066 a RFC 8446).
    • Byla přidána podpora následující nové vlastnosti:
           com.rsa.ssl.client.ocsp.sendnonce
  • Byla přidána podpora následujících dříve nepodporovaných vlastností:
           jdk.tls.client.enableStatusRequestExtension
           jdk.tls.server.enableStatusRequestExtension
           jdk.tls.sešípací.cacheSize
           jdk.tls.sešívání.cacheLifetime
           jdk.tls.sešívání.ignoreExtensions
           jdk.tls.sešívání.responseTimeout
           jdk.tls.sešívání.responderURI
           jdk.tls.sešívání.responderOverride
  • Implementace rozšíření limitu velikosti záznamu pro protokoly TLS 1.2 a TLS 1.3 (RFC 8449).
    • Byla přidána podpora následujících nových vlastností:
           com.rsa.ssl.tlsextensions.client.recordsizelimit.length
           com.rsa.ssl.tlsextensions.server.recordsizelimit.length
  • Implementace hodnoty hash relace a rozšířeného hlavního tajného klíče pro protokol TLS 1.2 (RFC 7627).
    • Byla přidána podpora dříve nepodporované vlastnosti:
           jdk.tls.useExtendedMasterSecret
  • Konfigurace limitu použití dočasného klíče.
    • com.rsa.ssl.ephemeralkey.usagelimitSystémová vlastnost omezuje počet použití dočasného páru klíčů pro metodu handshake. Ve výchozím nastavení je limit 1, což zajišťuje, že se dočasné páry klíčů nebudou znovu používat.
UPOZORNĚNÍ: Využití této vlastnosti by mělo být pečlivě zváženo, protože jakékoli zvýšení výkonu je na úkor snížené úrovně zabezpečení


Tato verze SSL-J je navržena tak, aby obsahovala následující změny:

  • Protokoly SSLv3, TLS 1.0 a TLS 1.1 se již nepodporují a jejich implementace byly odebrány.
  • Byla odebrána podpora následujících vlastností:
      com.rsa.ssl.server.compatibility.securerenegotiation
      com.rsa.ssl.server.compatibility.securerenegotiation.requireupdatedpeer
      com.rsa.ssl.client.compatibility.securerenegotiation.requireupdatedpeer
      com.rsa.ssl.rsamd5signature
      jsse.enableCBCProtection
  • Byla aktualizována podpora rozšíření EC Supported Point Formats Extension pro protokol TLS 1.2 z RFC 4492 na RFC 8422.
  • Byla odebrána podpora staršího opětovného vyjednávání.

V této verzi jsou odebrány následující zastaralé funkce:

  • Všechna rozhraní SSLJ API. Aplikace musí používat veřejné rozhraní API JSSE a rozhraní API certifikátu v Crypto-J.
  • Všechna rozhraní API Cert-J
  • Všechny dříve zastaralé šifrovací sady, jak je uvedeno ve vylepšeních a vyřešených problémech
  • Dříve zastaralá rozhraní API. Úplný seznam těchto položek naleznete v části Odebraná rozhraní API v příručce Dell BSAFE pro vývojáře SSL-J.

Tato verze je navržena tak, aby obsahovala následující opravy:

  • BSFSSLJ-300: Vyjednávání pomocí algoritmu Diffie Hellman občas vyústí v výjimku "invalid padding" (Java 1.7). Další informace naleznete v databázi chyb Oracle, JDK-8013059 Problém třetí strany, není nutná žádná změna SSL-J.
  • BSFSSLJ-262: Klienti TLS nepodporují ověřování klientů ECDSA_sign šifrovacích sadách ECDH. Pevné (statické) šifrovací sady ECDH se již nepodporují. Použijte podporované dočasné šifrovací sady ECDHE.
  • BSFSSLJ-261: Server TLS v1.1 odesílá certifikát s pevným klíčem DH podepsaným pomocí DSA pro šifrovací sadu DH_RSA. Neopraví se, protože protokol TLS 1.1 se již nepodporuje.
  • BSFSSLJ-259: JSSE TLSv1.2 ClientHello obsahuje šifrovací sady RC4. Šifrovací sady RC4 již nejsou podporovány.
  • BSFSSLJ-245: SSL-J selže s chybou "Could not find the responder certificate specified." i při vypnutém protokolu OCSP při použití rozhraní SSLJ API. Zástupné řešení: Zakomentujte všechny vlastnosti související s protokolem OCSP (v části trustManagers). Neopraví, protože SSLJ API již není podporováno.

Další dokumentaci, soubory ke stažení a další informace získáte od podpory společnosti Dell.

Produkty

BSAFE SSL-J
Vlastnosti článku
Číslo článku: 000185251
Typ článku: How To
Poslední úprava: 16 Dec 2022
Verze:  3
Najděte odpovědi na své otázky od ostatních uživatelů společnosti Dell
Služby podpory
Zkontrolujte, zda se na vaše zařízení vztahují služby podpory.