Asesoría para la versión de SSL-J 7.0 de Dell BSAFE

Publicado inicialmente el 13 de abril de 2021

Descripción

El equipo de Dell BSAFE anuncia el lanzamiento de Dell BSAFE SSL-J 7.0 (SSL-J). Esta versión incorpora Dell BSAFE Crypto-J 6.2.5.1 (Crypto-J), que utiliza Dell BSAFE Crypto-J Jsafe y JCE Software Module 6.2.5 como su proveedor de FIPS subyacente. 

Nota: El Crypto-J integrado se incluye para abordar los problemas de compatibilidad necesarios para producir SSL-J. Se proporcionará una versión independiente de Crypto-J en una fecha posterior, si Dell Technologies lo considera necesario.
 

Esta versión de SSL-J está diseñada para proporcionar las siguientes funciones nuevas:

• Implementación de TLS 1.3 (RFC 8446).
• Compatibilidad de propiedades con TLS 1.3:
  • Se agregó compatibilidad con las siguientes propiedades nuevas:

           com.rsa.ssl.compatibility.tls13.middlebox
           com.rsa.ssl.server.forcehrr
           com.rsa.ssl.tlsextensions.client.keyshares
           com.rsa.ssl.tlsextensions.server.cookie
           com.rsa.sslj.supported.signature.schemes
           com.rsa.sslj.supported.certificate.signature.schemes

• Se agregó compatibilidad con la propiedad que antes no era compatible.

           jdk.tls.keyLímites

• Se agregó compatibilidad con TLS 1.3 para la siguiente propiedad:

           jdk.tls.disabledAlgorithms

• Se agregó compatibilidad con TLS 1.3 y TLS 1.2 para la propiedad que anteriormente no era compatible:

           jdk.tls.namedGroups

• Implementación de la extensión de las autoridades de certificación para TLS 1.3 (RFC 8446).
• Implementación de la extensión de la solicitud de estado de certificado, el grapado de OCSP, para TLS 1.2 y TLS 1.3. (RFC 6066 y RFC 8446).
  • Se agregó compatibilidad con la siguiente propiedad nueva:

           com.rsa.ssl.client.ocsp.sendnonce

• Se agregó compatibilidad con las siguientes propiedades que anteriormente no eran compatibles:

           jdk.tls.client.enableStatusRequestExtension
           jdk.tls.server.enableStatusRequestExtension
           jdk.tls.stapling.cacheSize
           jdk.tls.stapling.cacheLifetime
           jdk.tls.stapling.ignoreExtensions
           jdk.tls.stapling.responseTimeout
           jdk.tls.stapling.responderURI
           jdk.tls.stapling.responderOverride

• Implementación de la extensión del límite de tamaño de registro para TLS 1.2 y TLS 1.3 (RFC 8449).
  • Se agregó compatibilidad con las siguientes propiedades nuevas:

           com.rsa.ssl.tlsextensions.client.recordsizelimit.length
           com.rsa.ssl.tlsextensions.server.recordsizelimit.length

• Implementación de hash de sesión y secreto maestro extendido para TLS 1.2 (RFC 7627).
  • Se ha agregado compatibilidad con la propiedad no compatible anteriormente:

           jdk.tls.useExtendedMasterSecret

• Configuración del límite de uso de claves efímeras.
  • La propiedad del sistema com.rsa.ssl.ephemeralkey.usagelimit limita la cantidad de veces que se utiliza un par de claves efímeras para los protocolos de enlace. De manera predeterminada, el límite es 1, lo que garantiza que los pares de claves efímeros no se vuelvan a utilizar.

Esta versión de SSL-J está diseñada para incluir los siguientes cambios:

• SSLv3, TLS 1.0 y TLS 1.1 ya no son compatibles y se eliminaron las implementaciones.
• Se eliminó la compatibilidad con las siguientes propiedades:

      com.rsa.ssl.server.compatibility.securerenegotiation
      com.rsa.ssl.server.compatibility.securerenegotiation.requireupdatedpeer
      com.rsa.ssl.client.compatibility.securerenegotiation.requireupdatedpeer
      com.rsa.ssl.rsamd5signature
      jsse.enableCBCProtection

• Se actualizó la compatibilidad con la extensión de formatos de punto compatibles con EC, para TLS 1.2, de RFC 4492 a RFC 8422.
• Se eliminó el soporte para la renegociación heredada.

Esta versión está diseñada para eliminar la siguiente funcionalidad obsoleta:

• Todas las API de SSLJ. Las aplicaciones deben utilizar la API pública de JSSE y la API de certificados en Crypto-J.
• Todas las API de Cert-J
• Todos los conjuntos de cifrado anteriormente obsoletos, como se indica en Mejoras y problemas resueltos
• API anteriormente obsoletas. Para obtener una lista completa de estos elementos, consulte API eliminadas en la Guía del desarrollador de SSL-J de Dell BSAFE.

Esta versión está diseñada para incluir las siguientes correcciones:

• BSFSSLJ-300: Las negociaciones que utilizan Diffie Hellman ocasionalmente resultan en una excepción de "relleno no válido" (Java 1.7). Para obtener más información, consulte la base de datos de errores de Oracle, JDK-8013059 Problema de terceros, no se requiere un cambio de SSL-J.
• BSFSSLJ-262: Los clientes TLS no admiten la autenticación de clientes ECDSA_sign para conjuntos de cifrado ECDH. Los conjuntos de cifrado de ECDH fijos (estáticos) ya no son compatibles. Utilice los conjuntos de cifrado ECDHE efímeros compatibles.
• BSFSSLJ-261: El servidor TLS v1.1 envía un certificado que lleva una clave DH fija firmada con DSA para un conjunto de cifrado DH_RSA. No se solucionará porque TLS 1.1 ya no es compatible.
• BSFSSLJ-259: JSSE TLSv1.2 ClientHello incluye conjuntos de cifrado RC4. Los conjuntos de cifrado RC4 ya no son compatibles.
• BSFSSLJ-245: SSL-J falla con el error "No se pudo encontrar el certificado de respuesta de OCSP especificado", incluso con OCSP apagado cuando se usa la API de SSLJ. Solución alternativa: Comente todas las propiedades relacionadas con OCSP (en trustManagers). No se solucionará porque la API de SSLJ ya no es compatible.

Para obtener documentación adicional, descargas y más, comuníquese con el soporte de Dell.