Dell BSAFE SSL-J 7.0 릴리스 권고 사항
요약: Dell BSAFE 팀은 FIPS 140 검증 암호화를 사용하여 TLS 1.3에 대한 지원을 추가하는 Dell BSAFE SSL-J 7.0의 릴리스를 발표했습니다.
이 문서는 다음에 적용됩니다.
이 문서는 다음에 적용되지 않습니다.
이 문서는 특정 제품과 관련이 없습니다.
모든 제품 버전이 이 문서에 나와 있는 것은 아닙니다.
지침
최초 게시일: 2021년 4월 13일
설명
Dell BSAFE 팀은 Dell BSAFE SSL-J 7.0(SSL-J)의 릴리스를 발표합니다. 이 릴리스에는 Dell BSAFE Crypto-J Jsafe 및 JCE Software Module 6.2.5를 기본 FIPS 공급자로 사용하는 Dell BSAFE Crypto-J 6.2.5.1(Crypto-J)이 포함되어 있습니다.참고: SSL-J를 생성하는 데 필요한 호환성 문제를 해결하기 위해 임베디드 Crypto-J가 포함되어 있습니다. Crypto-J의 독립 실행형 릴리스는 Dell Technologies가 필요하다고 판단할 경우 추후에 제공될 예정입니다.
이 SSL-J 릴리스는 다음과 같은 새로운 기능을 제공하도록 설계되었습니다.
- TLS 1.3 구현(RFC 8446).
- TLS 1.3에 대한 속성 지원:
- 다음과 같은 새 속성에 대한 지원이 추가되었습니다.
com.rsa.ssl.compatibility.tls13.middlebox
com.rsa.ssl.server.forcehrr
com.rsa.ssl.tlsextensions.client.keyshares
com.rsa.ssl.tlsextensions.server.cookie
com.rsa.sslj.supported.signature.schemes
com.rsa.sslj.supported.certificate.signature.schemes
- 이전에 지원되지 않았던 속성에 대한 지원이 추가되었습니다.
jdk.tls.keyLimits
- 다음 속성에 대한 TLS 1.3 지원이 추가되었습니다.
jdk.tls.disabled알고리즘
- 이전에 지원되지 않았던 속성에 대한 TLS 1.3 및 TLS 1.2 지원이 추가되었습니다.
jdk.tls.named그룹
- TLS 1.3(RFC 8446)에 대한 인증 기관 확장이 구현되었습니다.
- TLS 1.2 및 TLS 1.3에 대한 인증서 상태 요청 확장인 OCSP 스테이플링을 구현합니다. (RFC 6066 및 RFC 8446).
- 다음과 같은 새 속성에 대한 지원이 추가되었습니다.
com.rsa.ssl.client.ocsp.sendnonce
- 이전에 지원되지 않았던 다음 속성에 대한 지원이 추가되었습니다.
jdk.tls.client.enableStatusRequestExtension
jdk.tls.server.enableStatusRequestExtension
jdk.tls.stapling.cacheSize
jdk.tls.stapling.cache수명
jdk.tls.stapling.ignoreExtensions
jdk.tls.stapling.responseTimeout
jdk.tls.stapling.responderURI
jdk.tls.stapling.responder재정의
- TLS 1.2 및 TLS 1.3에 대한 레코드 크기 제한 확장 구현(RFC 8449).
- 다음과 같은 새 속성에 대한 지원이 추가되었습니다.
com.rsa.ssl.tlsextensions.client.recordsizelimit.length
com.rsa.ssl.tlsextensions.server.recordsizelimit.length
- TLS 1.2(RFC 7627)에 대한 세션 해시 및 확장 마스터 암호 구현.
- 이전에 지원되지 않았던 속성에 대한 지원이 추가되었습니다.
jdk.tls.useExtendedMasterSecret
- 임시 키 사용 제한 구성.
- com.rsa.ssl.ephemeralkey.usagelimit 시스템 등록 정보는 핸드셰이크에 임시 키 쌍이 사용되는 횟수를 제한합니다. 기본적으로 제한은 1이며 임시 키 쌍이 재사용되지 않도록 합니다.
주의: 성능을 향상시키면 보안 수준이 저하되므로 이 속성의 사용에 대해 신중하게 고려해야 합니다
이 SSL-J 릴리스는 다음 변경 사항을 포함하도록 설계되었습니다.
- SSLv3, TLS 1.0 및 TLS 1.1은 더 이상 지원되지 않으며 구현이 제거되었습니다.
- 다음 속성에 대한 지원이 제거되었습니다.
com.rsa.ssl.server.compatibility.securerenegotiation
com.rsa.ssl.server.compatibility.securerenegotiation.requireupdatedpeer
com.rsa.ssl.client.compatibility.securerenegotiation.requireupdatedpeer
com.rsa.ssl.rsamd5signature
jsse.enableCBCProtection
- TLS 1.2에 대한 EC 지원 포인트 형식 확장에 대한 지원을 RFC 4492에서 RFC 8422로 업데이트했습니다.
- 기존 재협상에 대한 지원이 제거되었습니다.
이 릴리스는 다음과 같이 사용되지 않는 기능을 제거하도록 설계되었습니다.
- 모든 SSLJ API. 애플리케이션은 Crypto-J에서 공용 JSSE API 및 인증서 API를 사용해야 합니다.
- 모든 Cert-J API
- 개선 사항 및 해결된 문제에 표시된 대로 이전에 지원 중단된 모든 암호 그룹
- 이전에는 사용되지 않는 API입니다. 이러한 항목의 전체 목록은 Dell BSAFE SSL-J 개발자 가이드의 제거된 API를 참조하십시오.
이 릴리스는 다음 수정 사항을 포함하도록 설계되었습니다.
- BSFSSLJ-300 크랙: Diffie Hellman을 사용한 협상은 때때로 '잘못된 패딩'예외 (Java 1.7)를 발생시킵니다. 자세한 내용은 Oracle Bug Database, JDK-8013059 Third party issue, no SSL-J change required를 참조하십시오.
- BSFSSLJ-262: TLS 클라이언트는 ECDH 암호 그룹에 대한 ECDSA_sign 클라이언트 인증을 지원하지 않습니다. 고정(정적) ECDH 암호 그룹은 더 이상 지원되지 않습니다. 지원되는 임시 ECDHE 암호 그룹을 사용합니다.
- BSFSSLJ-261: TLS v1.1 서버는 DH_RSA 암호 그룹을 위해 DSA로 서명된 고정 DH 키를 전달하는 인증서를 보냅니다. TLS 1.1이 더 이상 지원되지 않으므로 수정되지 않습니다.
- BSFSSLJ-259: JSSE TLSv1.2 ClientHello에는 RC4 암호 스위트가 포함되어 있습니다. RC4 암호 그룹은 더 이상 지원되지 않습니다.
- BSFSSLJ-245: SSLJ API를 사용할 때 OCSP가 꺼져 있어도 SSL-J가 "지정된 OCSP 응답자 인증서를 찾을 수 없습니다." 오류와 함께 실패합니다. 해결 방법: 모든 OCSP 관련 속성(trustManagers 아래)을 주석 처리합니다. SSLJ API가 더 이상 지원되지 않으므로 수정되지 않습니다.
추가 설명서, 다운로드 등은 Dell 지원에 문의하십시오.
제품
BSAFE SSL-J문서 속성
문서 번호: 000185251
문서 유형: How To
마지막 수정 시간: 16 12월 2022
버전: 3
다른 Dell 사용자에게 질문에 대한 답변 찾기
지원 서비스
디바이스에 지원 서비스가 적용되는지 확인하십시오.