Recomendação da versão Dell BSAFE SSL-J 7.0

Publicado inicialmente em 13 de abril de 2021

Descrição

A equipe Dell BSAFE anuncia o lançamento do Dell BSAFE SSL-J 7.0 (SSL-J). Esta versão incorpora o Dell BSAFE Crypto-J 6.2.5.1 (Crypto-J), que usa o Dell BSAFE Crypto-J Jsafe e o JCE Software Module 6.2.5 como seu provedor FIPS subjacente. 

Nota: O Crypto-J incorporado está incluído para resolver problemas de compatibilidade necessários para produzir SSL-J. Uma versão independente do Crypto-J será fornecida em uma data posterior, se a Dell Technologies considerar necessário.
 

Esta versão do SSL-J foi projetada para oferecer os seguintes recursos novos:

• Implementação do TLS 1.3 (RFC 8446).
• Suporte de propriedade para TLS 1.3:
  • Foi adicionado suporte para as seguintes novas propriedades:

           com.rsa.ssl.compatibility.tls13.middlebox
           com.rsa.ssl.server.forcehrr
           com.rsa.ssl.tlsextensions.client.keyshares
           com.rsa.ssl.tlsextensions.server.cookie
           com.rsa.sslj.supported.signature.schemes
           com.rsa.sslj.supported.certificate.signature.schemes

• Foi adicionado suporte para a propriedade anteriormente não suportada

           jdk.tls.keyLimits

• Foi adicionado suporte ao TLS 1.3 para a seguinte propriedade:

           jdk.tls.disabledAlgorithms

• Foi adicionado suporte para TLS 1.3 e TLS 1.2 para a propriedade anteriormente não compatível:

           jdk.tls.namedGroups

• Implementação da extensão de Autoridades de certificação para TLS 1.3 (RFC 8446).
• Implementação da extensão da solicitação de status do certificado, OCSP Sgramling, para TLS 1.2 e TLS 1.3. (RFC 6066 e RFC 8446).
  • Foi adicionado suporte para a seguinte nova propriedade:

           com.rsa.ssl.client.ocsp.sendnonce

• Foi adicionado suporte para as seguintes propriedades anteriormente não compatíveis:

           jdk.tls.client.enableStatusRequestExtension
           jdk.tls.server.enableStatusRequestExtension
           jdk.tls.stapling.cacheSize
           jdk.tls.stapling.cacheLifetime
           jdk.tls.stapling.ignoreExtensions
           jdk.tls.stapling.responseTimeout
           jdk.tls.stapling.responderURI
           jdk.tls.stapling.responderSubstituir

• Implementação da extensão de limite de tamanho de registro para TLS 1.2 e TLS 1.3 (RFC 8449).
  • Foi adicionado suporte para as seguintes novas propriedades:

           com.rsa.ssl.tlsextensions.client.recordsizelimit.length
           com.rsa.ssl.tlsextensions.server.recordsizelimit.length

• Implementação de hash de sessão e segredo mestre estendido para TLS 1.2 (RFC 7627).
  • Foi adicionado suporte para a propriedade anteriormente não compatível:

           jdk.tls.useExtendedMasterSecret

• Configuração do limite de uso de chave efêmera.
  • A propriedade de sistema com.rsa.ssl.ephemeralkey.usagelimit limita o número de vezes que um par de chaves efêmeras é usado para handshakes. Por padrão, o limite é 1, garantindo que pares de chaves temporárias não sejam reutilizados.

Esta versão do SSL-J foi projetada para incluir as seguintes alterações:

• SSLv3, TLS 1.0 e TLS 1.1 não são mais compatíveis e as implementações foram removidas.
• O suporte para as seguintes propriedades foi removido:

      com.rsa.ssl.server.compatibility.securerenegotiation
      com.rsa.ssl.server.compatibility.securerenegotiation.requireupdatedpeer
      com.rsa.ssl.client.compatibility.securerenegotiation.requireupdatedpeer
      com.rsa.ssl.rsamd5signature
      jsse.enableCBCProtection

• Suporte atualizado para EC Supported Point Formats Extension, para TLS 1.2, de RFC 4492 para RFC 8422.
• O suporte para renegociação de legado foi removido.

Esta versão foi projetada para remover a seguinte funcionalidade obsoleta:

• Todas as APIs SSLJ. Os aplicativos devem usar a API JSSE pública e a API de certificado no Crypto-J.
• Todas as APIs Cert-J
• Todos os conjuntos de codificações anteriormente obsoletos, conforme indicado em Aprimoramentos e Problemas resolvidos
• APIs anteriormente obsoletas. Para obter uma lista completa desses itens, consulte APIs removidas no Guia do desenvolvedor do Dell BSAFE SSL-J.

Esta versão foi projetada para incluir as seguintes correções:

• BSFSSLJ-300: Negociações usando Diffie Hellman ocasionalmente resultam em uma exceção de 'preenchimento inválido' (Java 1.7). Para obter mais informações, consulte Oracle Bug Database, JDK-8013059 Third party issue, nenhuma alteração de SSL-J necessária.
• BSFSSLJ-262: Os clients TLS não são compatíveis com a autenticação de client ECDSA_sign para conjuntos de codificações ECDH. Os conjuntos de codificações ECDH fixos (estáticos) não são mais compatíveis. Use os conjuntos de codificações efêmeros ECDHE compatíveis.
• BSFSSLJ-261: O servidor TLS v1.1 envia um certificado com uma chave DH fixa assinada com o DSA para um conjunto de codificações DH_RSA. Não foi corrigido porque o TLS 1.1 não é mais compatível.
• BSFSSLJ-259: JSSE TLSv1.2 ClientHello inclui conjuntos de codificações RC4. Os conjuntos de codificações RC4 não são mais compatíveis.
• BSFSSLJ-245: Falha no SSL-J com o erro "Não foi possível encontrar o certificado do respondente OCSP especificado." mesmo com o OCSP desligado ao usar a API SSLJ. Solução temporária: Comente todas as propriedades relacionadas ao OCSP (em trustManagers). Não foi corrigido porque a API SSLJ não é mais compatível.

Para obter mais documentação, downloads e muito mais, entre em contato com o Suporte Dell.