Dell BSAFE SSL-J 7.0 – Versionshinweise

Ursprünglich veröffentlicht am 13. April 2021

Beschreibung

Das Dell BSAFE-Team kündigt die Veröffentlichung von Dell BSAFE SSL-J 7.0 (SSL-J) an. Diese Version enthält Dell BSAFE Crypto-J 6.2.5.1 (Crypto-J), das Dell BSAFE Crypto-J Jsafe und JCE Software Module 6.2.5 als zugrunde liegenden FIPS-Anbieter verwendet. 

Hinweis: Das integrierte Crypto-J ist enthalten, um Kompatibilitätsprobleme zu beheben, die für die Erstellung von SSL-J erforderlich sind. Eine eigenständige Version von Crypto-J wird zu einem späteren Zeitpunkt bereitgestellt, wenn Dell Technologies dies für notwendig erachtet.
 

Diese Version von SSL-J wurde entwickelt, um die folgenden neuen Funktionen bereitzustellen:

• Implementierung von TLS 1.3 (RFC 8446).
• Eigenschaftsunterstützung für TLS 1.3:
  • Unterstützung für die folgenden neuen Eigenschaften wurde hinzugefügt:

           com.rsa.ssl.compatibility.tls13.middlebox
           com.rsa.ssl.server.forcehrr
           com.rsa.ssl.tlsextensions.client.keyshares
           com.rsa.ssl.tlsextensions.server.cookie
           com.rsa.sslj.supported.signature.schemes
           com.rsa.sslj.supported.certificate.signature.schemes

• Unterstützung für die zuvor nicht unterstützte Eigenschaft wurde hinzugefügt

           jdk.tls.keyLimits

• TLS 1.3-Unterstützung für die folgende Eigenschaft wurde hinzugefügt:

           jdk.tls.disabledAlgorithms

• TLS 1.3- und TLS 1.2-Unterstützung für die zuvor nicht unterstützte Eigenschaft wurde hinzugefügt:

           jdk.tls.namedGroups

• Implementierung der Erweiterung für Zertifizierungsstellen für TLS 1.3 (RFC 8446).
• Implementierung der Erweiterung der Zertifikatstatusanforderung, OCSP-Zuordnung, für TLS 1.2 und TLS 1.3. (RFC 6066 und RFC 8446).
  • Unterstützung für die folgende neue Eigenschaft wurde hinzugefügt:

           com.rsa.ssl.client.ocsp.sendnonce

• Unterstützung für die folgenden zuvor nicht unterstützten Eigenschaften wurde hinzugefügt:

           jdk.tls.client.enableStatusRequestExtension
           jdk.tls.server.enableStatusRequestExtension
           jdk.tls.stapling.cacheSize
           jdk.tls.stapling.cacheLifetime
           jdk.tls.stapling.ignoreExtensions
           jdk.tls.stapling.responseTimeout
           jdk.tls.stapling.responderURI
           jdk.tls.stapling.responderOverride

• Implementierung der Erweiterung des Datensatzgrößenlimits für TLS 1.2 und TLS 1.3 (RFC 8449).
  • Unterstützung für die folgenden neuen Eigenschaften wurde hinzugefügt:

           com.rsa.ssl.tlsextensions.client.recordsizelimit.length
           com.rsa.ssl.tlsextensions.server.recordsizelimit.length

• Implementierung von Sitzungs-Hash und erweitertem Hauptschlüssel für TLS 1.2 (RFC 7627).
  • Unterstützung für die zuvor nicht unterstützte Eigenschaft wurde hinzugefügt:

           jdk.tls.useExtendedMasterSecret

• Konfiguration des Grenzwerts für die kurzlebige Schlüsselnutzung.
  • Die Systemeigenschaft com.rsa.ssl.ephemeralkey.usagelimit begrenzt die Häufigkeit, mit der ein kurzlebiges Schlüsselpaar für Handshakes verwendet wird. Standardmäßig beträgt der Grenzwert 1, um sicherzustellen, dass kurzlebige Schlüsselpaare nicht wiederverwendet werden.

Diese Version von SSL-J enthält die folgenden Änderungen:

• SSLv3, TLS 1.0 und TLS 1.1 werden nicht mehr unterstützt und Implementierungen wurden entfernt.
• Die Unterstützung für die folgenden Eigenschaften wurde entfernt:

      com.rsa.ssl.server.compatibility.securerenegotiation
      com.rsa.ssl.server.compatibility.securerenegotiation.requireupdatedpeer
      com.rsa.ssl.client.compatibility.securerenegotiation.requireupdatedpeer
      com.rsa.ssl.rsamd5signature
      jsse.enableCBCProtection

• Aktualisierter Support für die von EC unterstützte Punktformaterweiterung für TLS 1.2 von RFC 4492 auf RFC 8422.
• Die Unterstützung für die Neuverhandlung von Legacy-Systemen wurde entfernt.

Diese Version wurde entwickelt, um die folgenden veralteten Funktionen zu entfernen:

• Alle SSLJ-APIs. Anwendungen müssen die öffentliche JSSE-API und die Zertifikat-API in Crypto-J verwenden.
• Alle Cert-J-APIs
• Alle zuvor veralteten Cipher Suites, wie unter Verbesserungen und behobene Probleme angegeben
• Zuvor veraltete APIs. Eine vollständige Liste dieser Elemente finden Sie unter Entfernte APIs im Dell BSAFE SSL-J-Entwicklerhandbuch.

Diese Version enthält die folgenden Korrekturen:

• BSFSSLJ-300: Verhandlungen mit Diffie Hellman führen gelegentlich zu einer "ungültigen Padding"-Ausnahme (Java 1.7). Weitere Informationen finden Sie in der Oracle Bug Database, JDK-8013059 Third party issue, no SSL-J change required.
• BSFSSLJ-262: TLS-Clients unterstützen keine ECDSA_sign-Client-Authentifizierung für ECDH-Cipher Suites. Feste (statische) ECDH-Cipher Suites werden nicht mehr unterstützt. Verwenden Sie die unterstützten ephemeren ECDHE Cipher Suites.
• BSFSSLJ-261: Der TLS v1.1-Server sendet ein Zertifikat mit einem festen, mit DSA signierten DH-Schlüssel für eine DH_RSA Cipher Suite. Wird nicht behoben, da TLS 1.1 nicht mehr unterstützt wird.
• BSFSSLJ-259: JSSE TLSv1.2 ClientHello umfasst RC4-Verschlüsselungssammlungen. RC4-Cipher-Suites werden nicht mehr unterstützt.
• BSFSSLJ-245: SSL-J schlägt mit dem Fehler "OCSP-Responder-Zertifikat wurde nicht gefunden." fehl, selbst wenn OCSP bei Verwendung der SSLJ-API ausgeschaltet ist. Problemumgehung: Kommentieren Sie alle OCSP-bezogenen Eigenschaften aus (unter trustManagers). Wird nicht behoben, weil die SSLJ-API nicht mehr unterstützt wird.

Wenden Sie sich an den Dell Support, um weitere Dokumentationen, Downloads und mehr zu erhalten.