Java 7のクライアントでTLS 1.1および1.2を有効にする

Java 7は、クライアントのTLS 1.1および1.2を無効にします。Java暗号化アーキテクチャOracleプロバイダのドキュメント：

Java SE 7リリースのSunJSSEはTLS 1.1とTLS 1.2をサポートしますが、どちらのバージョンもデフォルトではクライアント接続に対して有効になりません。一部のサーバーは、前方互換性を正しく実装せず、TLS 1.1またはTLS 1.2クライアントとの通信を拒否します。相互運用性のために、SunJSSEはクライアント接続に対してデフォルトでTLS 1.1またはTLS 1.2を有効にしません。

Javaアプリケーションごとのソリューションではなく、システム全体の設定でプロトコルを有効にすることに興味があります（おそらく、構成ファイルを使用して）。

TLS 1.1および1.2 システム全体で管理上有効にするにはどうすればよいですか？

注：POODLE以降、システム全体で SSLv3を管理上無効にします。（SSLv3の問題は少なくとも15年前にPOODLEよりも前にありましたが、Java / Oracle / Developersは基本的なベストプラクティスを尊重していなかったため、あなたや私のようなユーザーは混乱を片付けなければなりません）。

Javaバージョンは次のとおりです。

$ /Library/Java/JavaVirtualMachines/jdk1.7.0_07.jdk/Contents/Home/bin/java -version
java version "1.7.0_07"
Java(TM) SE Runtime Environment (build 1.7.0_07-b10)
Java HotSpot(TM) 64-Bit Server VM (build 23.3-b01, mixed mode)

次のプロパティ-Dhttps.protocols=TLSv1.1,TLSv1.2を追加するだけで、JVMを構成し、https接続中に使用するTLSプロトコルバージョンを指定できます。

Java 1.7を想定して、起動スクリプトに次のようなものを追加してみてください。

JAVACMD="$JAVACMD -Ddeployment.security.SSLv2Hello=false -Ddeployment.security.SSLv3=false -Ddeployment.security.TLSv1=false -D\ deployment.security.TLSv1.1=true -Ddeployment.security.TLSv1.2=true"

その他の提案：https : //blogs.oracle.com/java-platform-group/entry/java_8_will_use_tls

Mac OS X上のJava 7の場合、に移動するSystem Preferences > Javaと、Javaコントロールパネルが別のウィンドウで開きます。次に、Advancedタブに移動してAdvanced Security Settingsセクションまでスクロールダウンし、チェックボックスUse TLS 1.1とUse TLS 1.2チェックボックスをオンにします。

私は最近これを調査し、追加したいと思います-これはJDKでは機能しません.deployment.propertiesはアプレットやJREで実行されている他のものにのみ関連しています。

JDKアプリケーション（たとえば、LDAPに接続する必要があるサーバー）の場合、サーバーはクライアントですが、deployment.securityです。動作しません。

SSLContext.getInstance（ "TLSv1.2"）のようなコードを記述しない限り、変更する方法はありません。

deployment.security。*設定は、デスクトップで実行されているJavaアプレットおよびJava Web Startプログラムで機能するようです。他の人がここで言及しているように、deployment.propertiesを編集してそれを指定できます。

グループポリシーを使用してすべてのユーザーに同じdeployment.propertiesファイルを展開する方法を示す記事は次のとおりです。http：//www.darkoperator.com/blog/2013/1/12/pushing-security-configuration-for- java-7-update-10-via-gpo.html

残念ながら、java.exeまたはjavaw.exeを直接呼び出すコンピューター上のすべてのjavaプログラムに対してこれを有効にする方法はありません。javaを使用する各プログラムを見つけ、javaに渡すパラメーターを指定する構成ファイルを見つけて変更する必要があります。

Tomcatの場合、Tomcatから他のサーバーへの接続がTLS 1.1+を使用するように、これを渡す必要がありました-Dhttps.protocols=TLSv1.1,TLSv1.2。Linuxでは、これを編集bin/catalina.shまたは作成することで実行できますbin/setenv.sh。

Tomcatでサーバー側でTLS 1.2のみを使用するために必要なことはわかりません。私たちは、Apache HTTPを使用しています。

Java 7にこだわっ-Djdk.tls.client.protocols=TLSv1.1,TLSv1.2ている場合は、JVMの引数に追加できます。

これにはいくつかの注意事項があることに注意してください。

• Java 7アップデート95以降でのみ有効です。参照：https : //blogs.oracle.com/java-platform-group/diagnosing-tls,-ssl,-and-https
• 環境変数（たとえば、JAVA_OPTS）に設定されている場合でも、システム全体のソリューションではありません。この場合、Javaアプリケーションのenvvarのサポートに依存しています。

これらの欠点にもかかわらず、特にLDAPSなどのHTTPSではなくTLSを使用することに関心のあるプロトコルの場合、これは役立つと思います。

[更新] Ubuntuでサーバーのプールを実行している私の会社では、OpenJDK 7のアップデート121でさえ、これを正しく実装するには不十分であることがわかりました。動作する前に、すべてのサーバーを181に更新するように更新しました。