Avviso di rilascio per Dell BSAFE SSL-J 7.0

Pubblicato inizialmente il 13 aprile 2021

Descrizione

Il team Dell BSAFE annuncia il rilascio di Dell BSAFE SSL-J 7.0 (SSL-J). Questa versione incorpora Dell BSAFE Crypto-J 6.2.5.1 (Crypto-J), che utilizza Dell BSAFE Crypto-J Jsafe e JCE Software Module 6.2.5 come provider FIPS sottostante. 

Nota: Il Crypto-J integrato è incluso per risolvere i problemi di compatibilità necessari per produrre SSL-J. Una versione standalone di Crypto-J verrà fornita in un secondo momento, se ritenuto necessario da Dell Technologies.
 

Questa versione di SSL-J è progettata per fornire le seguenti nuove funzionalità:

• Implementazione di TLS 1.3 (RFC 8446).
• Supporto delle proprietà per TLS 1.3:
  • È stato aggiunto il supporto per le seguenti nuove proprietà:

           com.rsa.ssl.compatibility.tls13.middlebox
           com.rsa.ssl.server.forcehrr
           com.rsa.ssl.tlsextensions.client.keyshares
           com.rsa.ssl.tlsextensions.server.cookie
           com.rsa.sslj.supported.signature.schemes
           com.rsa.sslj.supported.certificate.signature.schemes

• È stato aggiunto il supporto per la proprietà precedentemente non supportata

           jdk.tls.keyLimits

• È stato aggiunto il supporto TLS 1.3 per la seguente proprietà:

           jdk.tls.disabledAlgorithms

• È stato aggiunto il supporto di TLS 1.3 e TLS 1.2 per la proprietà precedentemente non supportata:

           jdk.tls.namedGroups

• Implementazione dell'estensione delle autorità di certificazione per TLS 1.3 (RFC 8446).
• Implementazione dell'estensione della richiesta di stato del certificato, pinzatura OCSP, per TLS 1.2 e TLS 1.3. (RFC 6066 e RFC 8446).
  • È stato aggiunto il supporto per la seguente nuova proprietà:

           com.rsa.ssl.client.ocsp.sendnonce

• È stato aggiunto il supporto per le seguenti proprietà precedentemente non supportate:

           jdk.tls.client.enableStatusRequestExtension
           jdk.tls.server.enableStatusRequestExtension
           jdk.tls.stapling.cacheSize
           jdk.tls.stapling.cacheLifetime
           jdk.tls.stapling.ignoreExtensions
           jdk.tls.stapling.responseTimeout
           jdk.tls.stapling.responderURI
           jdk.tls.stapling.responderOverride

• Implementazione dell'estensione del limite di dimensione dei record per TLS 1.2 e TLS 1.3 (RFC 8449).
  • È stato aggiunto il supporto per le seguenti nuove proprietà:

           com.rsa.ssl.tlsextensions.client.recordsizelimit.length
           com.rsa.ssl.tlsextensions.server.recordsizelimit.length

• Implementazione di hash di sessione e master secret esteso per TLS 1.2 (RFC 7627).
  • È stato aggiunto il supporto per la proprietà precedentemente non supportata:

           jdk.tls.useExtendedMasterSecret

• Configurazione del limite di utilizzo delle chiavi effimere.
  • La proprietà di sistema com.rsa.ssl.ephemeralkey.usagelimit limita il numero di volte in cui una coppia di chiavi effimere viene utilizzata per gli handshake. Per impostazione predefinita, il limite è 1, garantendo che le coppie di chiavi effimere non vengano riutilizzate.

Questa versione di SSL-J è progettata per includere le seguenti modifiche:

• SSLv3, TLS 1.0 e TLS 1.1 non sono più supportati e le implementazioni sono state rimosse.
• Il supporto per le seguenti proprietà è stato rimosso:

      com.rsa.ssl.server.compatibility.securerenegotiation
      com.rsa.ssl.server.compatibility.securerenegotiation.requireupdatedpeer
      com.rsa.ssl.client.compatibility.securerenegotiation.requireupdatedpeer
      com.rsa.ssl.rsamd5signature
      jsse.enableCBCProteczione

• Aggiornamento del supporto per EC Supported Point Formats Extension, per TLS 1.2, da RFC 4492 a RFC 8422.
• Il supporto per la rinegoziazione legacy è stato rimosso.

Questa versione è progettata per rimuovere le seguenti funzionalità obsolete:

• Tutte le API SSLJ. Le applicazioni devono utilizzare l'API JSSE pubblica e l'API del certificato in Crypto-J.
• Tutte le API Cert-J
• Tutte le suite di crittografia precedentemente deprecate, come indicato nella sezione Miglioramenti e problemi risolti
• API precedentemente obsolete. Per un elenco completo di questi elementi, consultare API rimosse nella Guida per gli sviluppatori di Dell BSAFE SSL-J.

Questa versione è progettata per includere le seguenti correzioni:

• BSFSSLJ-300: Le negoziazioni che utilizzano Diffie Hellman occasionalmente danno luogo a un'eccezione di 'riempimento non valido' (Java 1.7). Per ulteriori informazioni, consultare Oracle Bug Database, JDK-8013059 Third party issue, no SSL-J change required.
• BSFSSLJ-262: I client TLS non supportano l'autenticazione client ECDSA_sign per i pacchetti di crittografia ECDH. I pacchetti di crittografia ECDH fissi (statici) non sono più supportati. Utilizzare le suite di crittografia ECDHE effimere supportate.
• BSFSSLJ-261: Il server TLS v1.1 invia un certificato con una chiave DH fissa firmata con DSA per una suite di crittografia DH_RSA. Non verrà risolto perché TLS 1.1 non è più supportato.
• BSFSSLJ-259: JSSE TLSv1.2 ClientHello include suite di crittografia RC4. Le suite di crittografia RC4 non sono più supportate.
• BSFSSLJ-245: SSL-J ha esito negativo con errore "Could not find the OCSP responder certificate specified." anche con OCSP disattivato quando si utilizza l'API SSLJ. Soluzione alternativa: Commentare tutte le proprietà correlate a OCSP (in trustManagers). Non verrà risolto perché l'API SSLJ non è più supportata.

Per ulteriore documentazione, download e altro ancora, contattare il supporto Dell.