Рекомендации по выпуску Dell BSAFE SSL-J 7.0

Первоначально опубликовано 13 апреля 2021 г.

Описание

Команда Dell BSAFE объявляет о выпуске Dell BSAFE SSL-J 7.0 (SSL-J). Этот выпуск включает в себя Dell BSAFE Crypto-J 6.2.5.1 (Crypto-J), который использует Dell BSAFE Crypto-J Jsafe и программный модуль JCE 6.2.5 в качестве базового поставщика FIPS. 

Примечание. Встроенный Crypto-J включен для решения проблем совместимости, необходимых для создания SSL-J. Отдельный выпуск Crypto-J будет предоставлен позднее, если Dell Technologies сочтет это необходимым.
 

Эта версия SSL-J разработана для предоставления следующих новых функций:

• Реализация TLS 1.3 (RFC 8446).
• Поддержка свойств для TLS 1.3:
  • Добавлена поддержка следующих новых свойств:

           com.rsa.ssl.compatibility.tls13.middlebox
           com.rsa.ssl.server.forcehrr
           com.rsa.ssl.tlsextensions.client.keyshares
           com.rsa.ssl.tlsextensions.server.cookie
           com.rsa.sslj.supported.signature.schemes
           com.rsa.sslj.supported.certificate.signature.schemes

• Добавлена поддержка ранее не поддерживаемого свойства

           jdk.tls.keyLimits

• В TLS 1.3 добавлена поддержка следующего свойства:

           jdk.tls.disabledAlgorithms

• Добавлена поддержка TLS 1.3 и TLS 1.2 для ранее не поддерживаемого свойства:

           jdk.tls.именованныегруппы

• Реализация расширения центров сертификации для TLS 1.3 (RFC 8446).
• Реализация расширения запроса состояния сертификата, OCSP Stapling, для TLS 1.2 и TLS 1.3. (RFC 6066 и RFC 8446).
  • Добавлена поддержка следующего нового свойства:

           com.rsa.ssl.client.ocsp.sendnonce

• Добавлена поддержка следующих ранее неподдерживаемых свойств:

           jdk.tls.client.enableStatusRequestExtension
           jdk.tls.server.enableStatusRequestExtension
           jdk.tls.stapling.cacheSize
           jdk.tls.stapling.cacheLifetime
           jdk.tls.stapling.ignoreExtensions
           jdk.tls.stapling.responseTimeout
           jdk.tls.stapling.responderURI
           jdk.tls.stapling.responderOverride

• Реализация расширения ограничения размера записи для TLS 1.2 и TLS 1.3 (RFC 8449).
  • Добавлена поддержка следующих новых свойств:

           com.rsa.ssl.tlsextensions.client.recordsizelimit.length
           com.rsa.ssl.tlsextensions.server.recordsizelimit.length

• Реализация хэша сеанса и расширенного главного секрета для TLS 1.2 (RFC 7627).
  • Добавлена поддержка ранее не поддерживаемого свойства:

           jdk.tls.useExtendedMasterSecret

• Настройка ограничения на использование временных ключей.
  • Системное свойство com.rsa.ssl.ephemeralkey.usagelimit ограничивает количество случаев использования временной пары ключей для рукопожатий. По умолчанию установлено ограничение 1, что исключает повторное использование временных пар ключей.

Этот выпуск SSL-J включает следующие изменения:

• SSLv3, TLS 1.0 и TLS 1.1 больше не поддерживаются, а реализации были удалены.
• Прекращена поддержка следующих свойств:

      com.rsa.ssl.server.compatibility.securerenegotiation
      com.rsa.ssl.server.compatibility.securerenegotiation.requireupdatedpeer
      com.rsa.ssl.client.compatibility.securerenegotiation.requireupdatedpeer
      com.rsa.ssl.rsamd5signature
      jsse.enableCBCProtection

• Обновлена поддержка EC Supported Point Formats Extension для TLS 1.2 с RFC 4492 до RFC 8422.
• Поддержка повторного согласования устаревших версий была удалена.

Этот выпуск предназначен для удаления следующих устаревших функций:

• Все API-интерфейсы SSLJ. Приложения должны использовать публичный API JSSE и API сертификатов в Crypto-J.
• Все API-интерфейсы Cert-J
• Все ранее устаревшие пакеты шифрования, как указано в разделах Усовершенствования и Устраненные проблемы
• Ранее устаревшие API. Полный список этих элементов см. в разделе «Удаленные API» в руководстве разработчика Dell BSAFE SSL-J.

Этот выпуск содержит следующие исправления:

• БСФССЛЖ-300: Согласования с использованием Diffie Hellman иногда приводят к исключению 'invalid padding' (Java 1.7). Дополнительные сведения см. в базе данных ошибок Oracle, JDK-8013059 Проблема стороннего производителя, изменения SSL-J не требуются.
• BSFSSLJ-262: Клиенты TLS не поддерживают аутентификацию клиента ECDSA_sign пакетах шифрования ECDH. Фиксированные (статические) пакеты шифрования ECDH больше не поддерживаются. Используйте поддерживаемые временные пакеты шифрования ECDHE.
• BSFSSLJ-261: Сервер TLS v1.1 отправляет сертификат с фиксированным ключом DH, подписанным DSA для пакета шифрования DH_RSA. Не будет исправлено, так как TLS 1.1 больше не поддерживается.
• BSFSSLJ-259: JSSE TLSv1.2 ClientHello включает в себя пакеты шифрования RC4. Пакеты шифрования RC4 больше не поддерживаются.
• BSFSSLJ-245: SSL-J завершается сбоем с ошибкой «Не удалось найти указанный сертификат респондента OCSP», даже если OCSP отключен при использовании API SSLJ. Временное решение. Закомментируйте все свойства, связанные с OCSP (в разделе trustManagers). Не будет исправлено, так как API SSLJ больше не поддерживается.

Для получения дополнительной документации, файлов для скачивания и многого другого обратитесь в службу поддержки Dell.