Dell BSAFE SSL-J 7.0 – Udgivelsesmeddelelse

Oversigt: Dell BSAFE-teamet annoncerer udgivelsen af Dell BSAFE SSL-J 7.0, der tilføjer understøttelse af TLS 1.3 ved hjælp af FIPS 140-valideret kryptografi.

Denne artikel gælder for Denne artikel gælder ikke for Denne artikel er ikke knyttet til et bestemt produkt. Det er ikke alle produktversioner, der er identificeret i denne artikel.
Udforsk andre ressourcer

Instruktioner

Oprindeligt udgivet den 13. april 2021

Beskrivelse

Dell BSAFE-teamet annoncerer udgivelsen af Dell BSAFE SSL-J 7.0 (SSL-J). Denne version integrerer Dell BSAFE Crypto-J 6.2.5.1 (Crypto-J), som bruger Dell BSAFE Crypto-J Jsafe og JCE Software Module 6.2.5 som underliggende FIPS-udbyder. 

Bemærk: Den integrerede Crypto-J er inkluderet for at løse kompatibilitetsproblemer, der kræves for at producere SSL-J. En selvstændig version af Crypto-J vil blive leveret på et senere tidspunkt, hvis Dell Technologies anser det for nødvendigt.
 

Denne version af SSL-J er designet til at give følgende nye funktion:

  • Implementering af TLS 1.3 (RFC 8446).
  • Egenskabssupport til TLS 1.3:
    • Der er tilføjet understøttelse af følgende nye egenskaber:
           com.rsa.ssl.compatibility.tls13.middlebox
           com.rsa.ssl.server.forcehrr
           com.rsa.ssl.tlsextensions.client.keyshares
           com.rsa.ssl.tlsextensions.server.cookie
           com.rsa.sslj.supported.signature.schemes
           com.rsa.sslj.supported.certificate.signature.schemes
  • Der er tilføjet understøttelse af den tidligere ikke-understøttede ejendom
           jdk.tls.keyLimits
  • TLS 1.3-understøttelse af følgende ejendom er blevet tilføjet:
           jdk.tls.disabledAlgorithms
  • TLS 1.3- og TLS 1.2-understøttelse for den tidligere ikke-understøttede ejendom er blevet tilføjet:
           jdk.tls.namedGroups
  • Implementering af certifikatmyndighedsudvidelse til TLS 1.3 (RFC 8446).
  • Implementering af udvidelsen af anmodningen om certifikatstatus, OCSP-hæftning, til TLS 1.2 og TLS 1.3. (RFC 6066 og RFC 8446).
    • Der er tilføjet understøttelse af følgende nye ejendom:
           com.rsa.ssl.client.ocsp.sendnonce
  • Der er tilføjet understøttelse af følgende egenskaber, der ikke tidligere har været understøttet:
           jdk.tls.client.enableStatusRequestExtension
           jdk.tls.server.enableStatusRequestExtension
           jdk.tls.stapling.cacheSize
           jdk.tls.stapling.cacheLifetime
           jdk.tls.stapling.ignoreExtensions
           jdk.tls.hæftning.responsTimeout
           jdk.tls.stapling.responderURI
           jdk.tls.stapling.responderOverride
  • Implementering af Record Size Limit Extension for TLS 1.2 og TLS 1.3 (RFC 8449).
    • Der er tilføjet understøttelse af følgende nye egenskaber:
           com.rsa.ssl.tlsextensions.client.recordsizelimit.length
           com.rsa.ssl.tlsextensions.server.recordsizelimit.length
  • Implementering af sessionshash og udvidet masterhemmelighed for TLS 1.2 (RFC 7627).
    • Der er tilføjet understøttelse af den tidligere ikke-understøttede egenskab:
           jdk.tls.useExtendedMasterSecret
  • Konfiguration af midlertidig grænse for nøgleforbrug.
    • Systemegenskaben com.rsa.ssl.ephemeralkey.usagelimit begrænser antallet af gange, et flygtigt nøglepar bruges til håndtryk. Som standard er grænsen 1, hvilket sikrer, at flygtige nøglepar ikke genbruges.
FORSIGTIG: Der bør tages nøje hensyn til brugen af denne ejendom, da enhver stigning i ydeevnen kommer på bekostning af et reduceret sikkerhedsniveau


Denne version af SSL-J er designet til at indeholde følgende ændringer:

  • SSLv3, TLS 1.0 og TLS 1.1 understøttes ikke længere, og implementeringer er blevet fjernet.
  • Understøttelse af følgende egenskaber er blevet fjernet:
      com.rsa.ssl.server.compatibility.securerenegotiation
      com.rsa.ssl.server.compatibility.securerenegotiation.requireupdatedpeer
      com.rsa.ssl.client.compatibility.securerenegotiation.requireupdatedpeer
      com.rsa.ssl.rsamd5signature
      jsse.enableCBCProtection
  • Opdateret understøttelse af EC Supported Point Formats Extension til TLS 1.2 fra RFC 4492 til RFC 8422.
  • Understøttelse af genforhandling af ældre versioner er blevet fjernet.

Formålet med denne version er at fjerne følgende forældede funktionalitet:

  • Alle SSLJ-API'er. Applikationer skal bruge den offentlige JSSE API og certifikat-API'en i Crypto-J.
  • Alle Cert-J-API'er
  • Alle tidligere udfasede krypteringspakker, som angivet i Forbedringer og løste problemer
  • Tidligere udfasede API er. Du kan finde en komplet liste over disse elementer under Fjernede API er i Dell BSAFE SSL-J-udviklervejledningen.

Denne version er beregnet til at indeholde følgende rettelser:

  • BSFSSLJ-300: Forhandlinger med Diffie Hellman resulterer lejlighedsvis i en undtagelse for "ugyldig polstring" (Java 1.7). Du kan finde flere oplysninger i Oracle Bug Database, JDK-8013059 Tredjepartsproblem, ingen SSL-J-ændring påkrævet.
  • BSFSSLJ-262: TLS-klienter understøtter ikke ECDSA_sign-klientgodkendelse til ECDH-krypteringspakker. Faste (statiske) ECDH-krypteringspakker understøttes ikke længere. Brug de understøttede flygtige ECDHE-krypteringspakker.
  • BSFSSLJ-261: TLS v1.1-serveren sender et certifikat med en fast DH-nøgle, der er signeret med DSA, til en DH_RSA-krypteringspakke. Vil ikke løse problemet, fordi TLS 1.1 ikke længere understøttes.
  • BSFSSLJ-259: JSSE TLSv1.2 ClientHello inkluderer RC4-chiffersuiter. RC4-chifferpakker understøttes ikke længere.
  • BSFSSLJ-245: SSL-J mislykkes med fejlen "Kunne ikke finde OCSP-respondercertifikatet angivet." selv med OCSP slået fra, når du bruger SSLJ API. Løsning: Kommenter alle OCSP-relaterede ejendomme (under trustManagers). Vil ikke rette, fordi SSLJ API ikke længere understøttes.

Kontakt Dell Support for at få yderligere dokumentation, downloads og meget mere.

Produkter

BSAFE SSL-J
Artikelegenskaber
Artikelnummer: 000185251
Artikeltype: How To
Senest ændret: 16 dec. 2022
Version:  3
Find svar på dine spørgsmål fra andre Dell-brugere
Supportservices
Kontrollér, om din enhed er dækket af supportservices.