Conseils sur la version Dell BSAFE SSL-J 7.0

Publié initialement le 13 avril 2021

Description

L’équipe Dell BSAFE annonce le lancement de Dell BSAFE SSL-J 7.0 (SSL-J). Cette version intègre Dell BSAFE Crypto-J 6.2.5.1 (Crypto-J), qui utilise Dell BSAFE Crypto-J Jsafe et JCE Software Module 6.2.5 comme fournisseur FIPS sous-jacent. 

Remarque : Le Crypto-J intégré est inclus pour résoudre les problèmes de compatibilité requis pour produire SSL-J. Une version autonome de Crypto-J sera fournie à une date ultérieure, si Dell Technologies l’estime nécessaire.
 

Cette version de SSL-J est conçue pour fournir les nouvelles fonctionnalités suivantes :

• Implémentation de TLS 1.3 (RFC 8446).
• Prise en charge des propriétés pour TLS 1.3 :
  • La prise en charge des nouvelles propriétés suivantes a été ajoutée :

           com.rsa.ssl.compatibility.tls13.middlebox
           com.rsa.ssl.server.forcehrr
           com.rsa.ssl.tlsextensions.client.keyshares
           com.rsa.ssl.tlsextensions.server.cookie
           com.rsa.sslj.supported.signature.schemes
           com.rsa.sslj.supported.certificate.signature.schemes

• La prise en charge de la propriété précédemment non prise en charge a été ajoutée

           jdk.tls.keyLimits

• La prise en charge de TLS 1.3 a été ajoutée pour la propriété suivante :

           jdk.tls.disabledAlgorithms

• La prise en charge de TLS 1.3 et TLS 1.2 a été ajoutée pour la propriété précédemment non prise en charge :

           jdk.tls.namedGroups

• Implémentation de l’extension des autorités de certification pour TLS 1.3 (RFC 8446).
• Implémentation de l’extension de demande d’état de certificat, OCSP Stapling, pour TLS 1.2 et TLS 1.3. (RFC 6066 et RFC 8446).
  • La nouvelle propriété suivante a été prise en charge :

           com.rsa.ssl.client.ocsp.sendnonce

• La prise en charge des propriétés suivantes, précédemment non prises en charge, a été ajoutée :

           jdk.tls.client.enableStatusRequestExtension
           jdk.tls.server.enableStatusRequestExtension
           jdk.tls.stapling.cacheSize
           jdk.tls.stapling.cacheLifetime
           jdk.tls.stapling.ignoreExtensions
           jdk.tls.stapling.responseTimeout
           jdk.tls.stapling.responderURI
           jdk.tls.stapling.responderOverride

• Implémentation de l’extension de la limite de taille d’enregistrement pour TLS 1.2 et TLS 1.3 (RFC 8449).
  • La prise en charge des nouvelles propriétés suivantes a été ajoutée :

           com.rsa.ssl.tlsextensions.client.recordsizelimit.length
           com.rsa.ssl.tlsextensions.server.recordsizelimit.length

• Implémentation du hachage de session et du secret principal étendu pour TLS 1.2 (RFC 7627).
  • La prise en charge de la propriété précédemment non prise en charge a été ajoutée :

           jdk.tls.useExtendedMasterSecret

• Configuration de la limite d’utilisation de la clé éphémère.
  • La propriété système com.rsa.ssl.ephemeralkey.usagelimit limite le nombre de fois qu’une paire de clés éphémères est utilisée pour les liaisons. Par défaut, la limite est de 1, ce qui garantit que les paires de clés éphémères ne sont pas réutilisées.

Cette version de SSL-J est conçue pour inclure les modifications suivantes :

• SSLv3, TLS 1.0 et TLS 1.1 ne sont plus pris en charge et les implémentations ont été supprimées.
• Les propriétés suivantes ne sont plus prises en charge :

      com.rsa.ssl.server.compatibility.securerenegotiation
      com.rsa.ssl.server.compatibility.securerenegotiation.requireupdatedpeer
      com.rsa.ssl.client.compatibility.securerenegotiation.requireupdatedpeer
      com.rsa.ssl.rsamd5signature
      jsse.enableCBCProtection

• Mise à jour de l’extension des formats de point pris en charge par EC, pour TLS 1.2, de RFC 4492 à RFC 8422.
• La prise en charge de la renégociation existante a été supprimée.

Cette version est conçue pour supprimer les fonctionnalités obsolètes suivantes :

• Toutes les API SSLJ. Les applications doivent utiliser l’API JSSE publique et l’API de certificat dans Crypto-J.
• Toutes les API Cert-J
• Toutes les suites de chiffrement obsolètes, comme indiqué dans la section Améliorations et problèmes résolus
• API précédemment obsolètes. Pour obtenir la liste complète de ces éléments, reportez-vous à la section API supprimées du Guide du développeur Dell BSAFE SSL-J.

Cette version est conçue pour inclure les correctifs suivants :

• BSFSSLJ-300 : Les négociations utilisant Diffie Hellman aboutissent parfois à une exception de « remplissage non valide » (Java 1.7). Pour plus d’informations, reportez-vous à la base de données de bogues Oracle, JDK-8013059 Problème de tiers, aucune modification SSL-J requise.
• BSFSSLJ-262 : Les clients TLS ne prennent pas en charge l’authentification client ECDSA_sign pour les suites de chiffrement ECDH. Les suites de chiffrement ECDH fixes (statiques) ne sont plus prises en charge. Utilisez les suites de chiffrement éphémères ECDHE prises en charge.
• BSFSSLJ-261 : Le serveur TLS v1.1 envoie un certificat portant une clé DH fixe signée avec DSA pour une suite de chiffrement DH_RSA. Ne sera pas corrigé car TLS 1.1 n’est plus pris en charge.
• BSFSSLJ-259 : JSSE TLSv1.2 ClientHello inclut des suites de chiffrement RC4. Les suites de chiffrement RC4 ne sont plus prises en charge.
• BSFSSLJ-245 : SSL-J échoue avec l’erreur « Could not find the OCSP responder certificate specified. », même si OCSP est désactivé lors de l’utilisation de l’API SSLJ. Solution de contournement : Mettez en commentaire toutes les propriétés liées à OCSP (sous trustManagers). Résolution impossible, car l’API SSLJ n’est plus prise en charge.

Pour obtenir de la documentation supplémentaire, des téléchargements et plus encore, contactez le support Dell.