Dell BSAFE SSL-J 7.0 Release Advisory

Oorspronkelijk gepubliceerd op 13 april 2021

Beschrijving

Het Dell BSAFE-team kondigt de release aan van Dell BSAFE SSL-J 7.0 (SSL-J). Deze release sluit Dell BSAFE Crypto-J 6.2.5.1 (Crypto-J) in, die de Dell BSAFE Crypto-J Jsafe en JCE Software Module 6.2.5 gebruikt als onderliggende FIPS-provider. 

Opmerking: De ingebouwde Crypto-J is inbegrepen om compatibiliteitsproblemen op te lossen die nodig zijn om SSL-J te produceren. Een standalone release van Crypto-J zal op een later tijdstip worden geleverd, indien dit door Dell Technologies noodzakelijk wordt geacht.
 

Deze release van SSL-J is ontworpen om de volgende nieuwe functie te bieden:

• Implementatie van TLS 1.3 (RFC 8446).
• Propertysupport voor TLS 1.3:
  • Ondersteuning voor de volgende nieuwe eigenschappen is toegevoegd:

           com.rsa.ssl.compatibility.tls13.middlebox
           com.rsa.ssl.server.forcehrr
           com.rsa.ssl.tlsextensions.client.keyshares
           com.rsa.ssl.tlsextensions.server.cookie
           com.rsa.sslj.supported.signature.schemes
           com.rsa.sslj.supported.certificate.signature.schemes

• Ondersteuning toegevoegd voor de eerder niet-ondersteunde eigenschap

           jdk.tls.keyLimits

• TLS 1.3-ondersteuning voor de volgende eigenschap is toegevoegd:

           jdk.tls.disabledAlgorithms

• Ondersteuning voor TLS 1.3 en TLS 1.2 voor de voorheen niet-ondersteunde eigenschap is toegevoegd:

           jdk.tls.namedGroups

• Implementatie van de uitbreiding voor certificeringsinstanties voor TLS 1.3 (RFC 8446).
• Implementatie van de extensie Certificaatstatusaanvraag, OCSP Stapling, voor TLS 1.2 en TLS 1.3. (RFC 6066 en RFC 8446).
  • Ondersteuning voor de volgende nieuwe eigenschap is toegevoegd:

           com.rsa.ssl.client.ocsp.sendnonce

• Ondersteuning toegevoegd voor de volgende voorheen niet-ondersteunde eigenschappen:

           jdk.tls.client.enableStatusRequestExtension
           jdk.tls.server.enableStatusRequestExtension
           jdk.tls.stapling.cacheSize
           jdk.tls.stapling.cacheLifetime
           jdk.tls.stapling.ignoreExtensions
           jdk.tls.stapling.responseTimeout
           jdk.tls.stapling.responderURI
           jdk.tls.stapling.responderOverride

• Implementatie van uitbreiding voor recordgroottelimiet voor TLS 1.2 en TLS 1.3 (RFC 8449).
  • Ondersteuning voor de volgende nieuwe eigenschappen is toegevoegd:

           com.rsa.ssl.tlsextensions.client.recordsizelimit.length
           com.rsa.ssl.tlsextensions.server.recordsizelimit.length

• Implementatie van sessie-hash en uitgebreid mastergeheim voor TLS 1.2 (RFC 7627).
  • Ondersteuning voor de voorheen niet-ondersteunde eigenschap is toegevoegd:

           jdk.tls.useExtendedMasterSecret

• Configuratie van de limiet voor het gebruik van kortstondige sleutels.
  • De systeemeigenschap com.rsa.ssl.ephemeralkey.usagelimit beperkt het aantal keren dat een kortstondig sleutelpaar wordt gebruikt voor handshakes. De limiet is standaard 1, zodat kortstondige sleutelparen niet opnieuw worden gebruikt.

Deze release van SSL-J bevat de volgende wijzigingen:

• SSLv3, TLS 1.0 en TLS 1.1 worden niet meer ondersteund en implementaties zijn verwijderd.
• Ondersteuning voor de volgende eigenschappen is verwijderd:

      com.rsa.ssl.server.compatibility.securerenegotiation
      com.rsa.ssl.server.compatibility.securerenegotiation.requireupdatedpeer
      com.rsa.ssl.client.compatibility.securerenegotiation.requireupdatedpeer
      com.rsa.ssl.rsamd5signature
      jsse.enableCBCProtection

• Ondersteuning voor EC Supported Point Formats Extension voor TLS 1.2 bijgewerkt van RFC 4492 naar RFC 8422.
• Ondersteuning voor heronderhandeling van legacy is verwijderd.

Deze release is ontworpen om de volgende verouderde functionaliteit te verwijderen:

• Alle SSLJ API's. Applicaties moeten gebruikmaken van de openbare JSSE API en de Certificate API in Crypto-J.
• Alle Cert-J API's
• Alle eerder afgeschafte coderingssuites, zoals aangegeven in de Verbeteringen en opgeloste problemen
• Eerder afgeschafte API's. Zie Verwijderde API's in de Dell BSAFE SSL-J Developer Guide voor een volledige lijst van deze items.

Deze release bevat de volgende oplossingen:

• BSFSSLJ-300: Onderhandelingen met Diffie Hellman resulteren af en toe in een uitzondering voor 'ongeldige opvulling' (Java 1.7). Zie voor meer informatie de Oracle-bugdatabase, JDK-8013059 Probleem met derden, geen SSL-J-wijziging vereist.
• BSFSSLJ-262: TLS-clients bieden geen ondersteuning voor ECDSA_sign clientauthenticatie voor ECDH-coderingssuites. Opgeloste (statische) ECDH-coderingssuites worden niet langer ondersteund. Gebruik de ondersteunde kortstondige ECDHE-coderingssuites.
• BSFSSLJ-261: TLS v1.1-server verzendt een certificaat met een vaste DH-sleutel die is ondertekend met DSA voor een DH_RSA-coderingssuite. Lost het probleem niet op omdat TLS 1.1 niet meer wordt ondersteund.
• BSFSSLJ-259: JSSE TLSv1.2 ClientHello bevat RC4 cipher suites. RC4-coderingssuites worden niet langer ondersteund.
• BSFSSLJ-245: SSL-J mislukt met de fout "Could not find the OCSP responder certificate specified." zelfs als OCSP is uitgeschakeld bij gebruik van de SSLJ API. Tijdelijke oplossing: Reageer op alle OCSP-gerelateerde eigenschappen (onder trustManagers). Wordt niet opgelost omdat de SSLJ API niet meer wordt ondersteund.

Neem voor aanvullende documentatie, downloads en meer contact op met Dell Support.