如果SCF 4.3.3服务器停止接受TLS 1.0和1.1,是否会产生负面影响?
适用场景
Snap Creator Framework (SCF) 4.3.3 Px
问题解答
否,但有一个建议(*)。
即使scAgent在
APP_NAME 配置中使用HANA、 这是唯一一个将创建与scServer的连接的插件、如果scAgent版本需要IP才能设置SSL证书、则在没有TLSv1.0或TLSv1.1的情况下、它将工作、而仅使用TLSv1.2 (或更高版本)。|
警告 要及时了解Java中的SSL漏洞,需要将Java虚拟机(JVM,即JRE或OpenJDK)升级到最新版本(**)。 |
追加信息
*)确保在scServer和scAgent端使用新版Java 8 (至少202或更高版本)以获得正确的TLSv1.2支持、并至少使用4.3.3P3版Snap Creator Framework - 4.3.3P3添加了一个AIX修复程序、以便仅使用TLSv1.2、 已在Windows和Linux下运行。
**)当前版本的JRE 1.8.0已在设置中禁用TLSv1.0和TLSv1.1,并且还将从TLSv1.2中删除弱密码。
注意: Snap Creator Framework、scServer和scAgent都是Java应用程序、并使用Java虚拟机(JVM)。JRE (Java Runtime)具有自己的SSL安全设置、因此在Windows上、更改Windows注册表中的TLS设置既不会更改scServer (端口443上)的行为、也不会更改scAgent (端口9090上)的行为。
而是在JRE
lib/security/java.security 文件中设置安全允许和禁止、以下条目将在旧版Java 8运行时禁用TLSv1.0和TLSv1.1: jdk.tls.disabledAlgorithms=SSL,SSLv2,SSLv3, TLSv1, TLSv1.1,MD5, SSLv3, DSA, RSA keySize <2048