Dell BSAFE SSL-J 7.0 版本諮詢

摘要: Dell BSAFE 團隊宣佈推出 Dell BSAFE SSL-J 7.0,新增對使用 FIPS 140 驗證密碼編譯的 TLS 1.3 支援。

本文章適用於 本文章不適用於 本文無關於任何特定產品。 本文未識別所有產品版本。
查看其他資源

說明

最初發佈於 2021 年 4 月 13 日

說明

Dell BSAFE 團隊宣佈推出 Dell BSAFE SSL-J 7.0 (SSL-J)。此版本內嵌 Dell BSAFE Crypto-J 6.2.5.1 (Crypto-J),使用 Dell BSAFE Crypto-J Jsafe 和 JCE 軟體模組 6.2.5 做為其基礎 FIPS 提供者。

注意:包含嵌入式 Crypto-J 是為了解決生成 SSL-J 所需的相容性問題。如 Dell Technologies 認為有必要,我們將於日後提供 Crypto-J 的獨立版本。
 

此版本的 SSL-J 旨在提供以下新功能:

  • 實現 TLS 1.3 (RFC 8446)。
  • TLS 1.3 的屬性支援:
    • 新增對下列新屬性的支援:
           com.rsa.ssl.compatibility.tls13.middlebox
           com.rsa.ssl.server.forcehrr
           com.rsa.ssl.tlsextensions.client.keyshares
           com.rsa.ssl.tlsextensions.server.cookie
           com.rsa.sslj.supported.signature.schemes
           com.rsa.sslj.supported.certificate.signature.schemes
  • 新增了對以前不支援的屬性的支援
           jdk.tls.keyLimits
  • 新增了對以下屬性的 TLS 1.3 支援:
           jdk.tls.disabledAlgorithms
  • 添加了對以前不支援的屬性的 TLS 1.3 和 TLS 1.2 支援:
           jdk.tls.namedgroups
  • 實作 TLS 1.3 的認證機構延伸模組 (RFC 8446)。
  • 為 TLS 1.2 和 TLS 1.3 實作憑證狀態要求擴充 OCSP Stapling。(RFC 6066 和 RFC 8446)。
    • 新增了對以下新屬性的支援:
           com.rsa.ssl.client.ocsp.sendnonce
  • 新增了對以下以前不支援的屬性的支援:
           jdk.tls.client.enableStatusRequestExtension
           jdk.tls.server.enableStatusRequestExtension
           jdk.tls.stapling.cacheSize
           jdk.tls.stapling.cacheLifetime
           jdk.tls.stapling.ignoreExtensions
           jdk.tls.stapling.responseTimeout
           jdk.tls.stapling.responderURI
           jdk.tls.stapling.responderOverride
  • 實現 TLS 1.2 和 TLS 1.3 的記錄大小限制擴展 (RFC 8449)。
    • 新增對下列新屬性的支援:
           com.rsa.ssl.tlsextensions.client.recordSizeLimit.length
           com.rsa.ssl.tlsextensions.server.recordsizelimit.length
  • 實現 TLS 1.2 的會話哈希和擴展主密鑰 (RFC 7627)。
    • 新增了對以前不支援的屬性的支援:
           jdk.tls.useExtendedMasterSecret
  • 設定暫時金鑰使用限制。
    • com.rsa.ssl.ephemeralkey.usagelimit 系統屬性限制臨時密鑰對用於握手的次數。默認情況下,限制為 1,以確保不會重複使用臨時密鑰對。
警示:應仔細考慮使用此屬性,因為任何性能的提高都是以降低安全級別為代價的


此版本的 SSL-J 旨在包括以下更改:

  • 不再支援 SSLv3、TLS 1.0 和 TLS 1.1,並且已移除實作。
  • 已刪除對以下屬性的支援:
      com.rsa.ssl.server.compatibility.securerenegotiation
      com.rsa.ssl.server.compatibility.securerenegotiation.requireupdatedpeer
      com.rsa.ssl.client.compatibility.securerenegotiation.requireupdatedpeer
      com.rsa.ssl.rsamd5signature
      jsse.enableCBCProtection
  • 將 TLS 1.2 的 EC 支援點格式延伸支援從 RFC 4492 更新為 RFC 8422。
  • 已刪除對舊版重新協商的支援。

此版本旨在移除以下已棄用的功能:

  • 所有 SSLJ API。應用程式必須在 Crypto-J 中使用公共 JSSE API 和證書 API。
  • 所有 Cert-J API
  • 所有以前已棄用的密碼套件,如增強功能和已解決的問題中所示
  • 先前已淘汰的應用程式發展介面。如需這些項目的完整清單,請參閱 Dell BSAFE SSL-J 開發人員指南中的已移除 API。

此版本旨在包含以下修正:

  • BSFSSLJ-300:使用 Diffie Hellman 的協商偶爾會導致「無效填充」異常(Java 1.7)。如需更多資訊,請參閱 Oracle 錯誤資料庫、JDK-8013059 第三方問題,不需要變更 SSL-J。
  • BSFSSLJ-262:TLS 用戶端不支援 ECDH 加密套件的ECDSA_sign用戶端身份驗證。不再支援固定(靜態)ECDH密碼套件。使用受支援的暫時 ECDHE 加密套件。
  • BSFSSLJ-261:TLS v1.1 伺服器會傳送一個憑證,其中包含以 DSA 為DH_RSA密碼套件簽署的固定 DH 金鑰。無法修復,因為不再支援 TLS 1.1。
  • BSFSSLJ-259:JSSE TLSv1.2 ClientHello 包括 RC4 密碼套件。不再支援 RC4 密碼套件。
  • BSFSSLJ-245:SSL-J 失敗,並顯示「無法找到指定的 OCSP 回應程式憑證」錯誤,即使使用 SSLJ API 時 OCSP 已關閉也發生錯誤。因應措施:註釋掉所有與 OCSP 相關的屬性(在 trustManager 下)。無法修復,因為不再支援 SSLJ API。

如需其他說明文件、下載內容等,請聯絡 Dell 支援。

產品

BSAFE SSL-J
文章屬性
文章編號: 000185251
文章類型: How To
上次修改時間: 16 12月 2022
版本:  3
向其他 Dell 使用者尋求您問題的答案
支援服務
檢查您的裝置是否在支援服務的涵蓋範圍內。