Это связано с тем, что новые версии браузеров начали выдавать предупреждения/ошибки при доступе к веб-сайтам, для которых настроены слабые шифры DH для SSL. Для получения дополнительной информации о проблеме следуйте ссылкам ниже
https://weakdh.org
проблема с заторами
Чтобы исправить это, вы можете найти способ обойти это на стороне браузера или на стороне сервера. Сторона сервера лучше всего, так как она решит проблему для всех пользователей, если они обращаются к серверу из разных браузеров/местоположений.
Исправьте проблему, которую мы должны убедиться, что наш сервер (в данном случае tomcat) использует надежные шифры для SSL.
В tomcat есть две разные реализации SSL. Defautl — это реализация JSSE, предоставляемая как часть среды выполнения Java. Другая реализация APR, которая по умолчанию использует движок OpenSSL.
JSSE, поскольку он зависит от среды выполнения Java, мы должны сначала выяснить, какую версию Java мы используем с tomcat. Tomcat 7 поддерживает Java 1.6 и выше. Затем нам нужно найти соответствующие наборы шифров, поддерживаемые соответствующей версией Java JSSE. Слабые — это те, которые содержат «DHE», поэтому выбирайте те, которые не содержат «DHE». Ниже перечислены несколько более сильных наборов для Java 1.6 JSSE.
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_ECDH_ECDSA_WITH_RC4_128_SHA
TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA
TLS_ECDH_RSA_WITH_RC4_128_SHA
TLS_ECDH_RSA_WITH_AES_128_CBC_SHA
TLS_ECDH_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_ECDSA_WITH_RC4_128_SHA
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_RC4_128_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_ECDH_ECDSA_WITH_3DES_EDE_CBC_SHA
TLS_ECDH_RSA_WITH_3DES_EDE_CBC_SHA
TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA
TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA
TLS_ECDH_ECDSA_WITH_NULL_SHA
TLS_ECDH_RSA_WITH_NULL_SHA
TLS_ECDHE_ECDSA_WITH_NULL_SHA
TLS_ECDHE_RSA_WITH_NULL_SHA
...
Составьте список надежных шифров и добавьте его к шифрам коннектора в conf/server.xml в вашем tomcat.
<Connector
...
ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_ECDH_ECDSA_WITH_RC4_128_SHA,TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA,TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA,TLS_ECDH_RSA_WITH_RC4_128_SHA,TLS_ECDH_RSA_WITH_AES_128_CBC_SHA,TLS_ECDH_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_ECDSA_WITH_RC4_128_SHA,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_RC4_128_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDH_ECDSA_WITH_3DES_EDE_CBC_SHA,TLS_ECDH_RSA_WITH_3DES_EDE_CBC_SHA,TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA,TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA,TLS_ECDH_ECDSA_WITH_NULL_SHA,TLS_ECDH_RSA_WITH_NULL_SHA,TLS_ECDHE_ECDSA_WITH_NULL_SHA,TLS_ECDHE_RSA_WITH_NULL_SHA"
...
/>
Перезапустите сервер, и ошибка/предупреждение должны исчезнуть. Помните, что если версия Java отличается, копирование/вставка, описанная выше, может не сработать. Поэтому обратитесь к правильной версии и поддерживаемым наборам шифров.
Примечание. Чтобы иметь возможность использовать 256-битные шифры AES, необходимо установить файлы политики юрисдикции неограниченной силы JCE.
Если Tomcat настроен на использование APR вместо JSSE, приведенная выше конфигурация не будет работать. Вы можете включить стойкие наборы шифров, следуя руководству по настройке tomcat ssl для APR и logjam руководству администратора .
person
kadian
schedule
09.09.2015