TLS-Check
Der TLS-Check prüft, ob in der Java-Security-Konfiguration für TLS nur Algorithmen erlaubt sind, die als sicher gelten. Der Check orientiert sich hier an den Empfehlungen von Mozilla.
Unsichere Algorithmen in TLS-Cipher-Suites sind problematisch, weil sie die Vertraulichkeit und Integrität der übertragenen Daten gefährden. Angreifer können bekannte kryptographische Schwächen ausnutzen, um verschlüsselte Kommunikation zu entschlüsseln oder zu manipulieren.
Konfiguration des Checks
Durch den Parameter mozillaTlsRecommendationType kann konfiguriert werden, wie streng die Prüfung hinsichtlich der erlaubten Algorithmen ist.
Es stehen die Profile modern, intermediate und old zu Verfügung.
Standardmäßig ist intermediate konfiguriert.
| Profil | Beschreibung |
|---|---|
|
Nur die neuesten Algorithmen, Cypher-Suites und TLS 1.3 sind erlaubt. Diese werden evtl. nicht von allen Anwendungen und Clients unterstützt. |
|
Es sind Algorithmen und Cypher-Suites erlaubt, die als sicher gelten und von den meisten Anwendungen und Clients unterstützt werden. |
|
Es sind auch Algorithmen und Cypher-Suites erlaubt, die mit älteren Anwendungen und Clients kompatibel sind, aber evtl. nicht mehr als ganz sicher gelten. Es wird von der Nutzung dieses Profils abgeraten. |
Die Einstellung kann in der Konfigurationsdatei KARAF/etc/de.virtimo.bpc.core.security.checks.cfg angepasst werden.
Hier passt man die Zeile entsprechend an:
KARAF/etc/de.virtimo.bpc.core.security.checks.cfg# TlsCheck Configuration
mozillaTlsRecommendationType=intermediateVorgehen zur Absicherung
In einer frischen Installation ist das BPC schon so konfiguriert, dass es das Profil intermediate erfüllt.
Das Deaktivieren einzelner Cypher-Suites und TLS-Algorithmen kann in der Datei custom.java.security im BPC-Installationsverzeichnis vorgenommen werden.
Hier müssen die Algorithmen eingetragen werden, die im Check-Ergebnis bemängelt werden.
Weiteres kann in Java Security Einstellungen nachgelesen werden.
