[SOLUCIONADO] Evitar el soporte para TLS 1.1 en un SSLServerSocket

ferdave1904 · #1 (**permalink**) 13/08/2015, 11:47

Que tal Amigos, tengo un SSLServerSocket que soporta SSL y TLS, sólo que con fines de seguridad quiero que deje de soportar TLS1.1 o inferior.
¿Alguna idea de como hacer esto?

Este es mi código:

Código Java:

Ver originalServerSocket res = null;
        SSLServerSocket ssocket = null;
        try (InputStream is = new FileInputStream(certPath)) {
            char[] chPwd = sPassWS.toCharArray();
            KeyStore keyStore = KeyStore.getInstance(KeyStore.getDefaultType());
            keyStore.load(is, chPwd);
 
            TrustManagerFactory tmf = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
            tmf.init(keyStore);
            SSLContext ctx = SSLContext.getInstance("TLS");
 
            KeyManagerFactory kmf = KeyManagerFactory.getInstance(KeyManagerFactory.getDefaultAlgorithm());
            kmf.init(keyStore, chPwd);
            ctx.init(kmf.getKeyManagers(), null/*tmf.getTrustManagers()*/, null);
 
            SSLServerSocketFactory ssocketFactory = ctx.getServerSocketFactory();
 
            res = ssocketFactory.createServerSocket();
            
            String[] enabledCipherSuites = {
                        "SSL_RSA_WITH_RC4_128_SHA",
                        "TLS_DHE_DSS_WITH_AES_128_CBC_SHA",                    
                        "TLS_DHE_RSA_WITH_AES_128_CBC_SHA",                    
                        "TLS_KRB5_WITH_RC4_128_SHA",
                        "TLS_RSA_WITH_AES_128_CBC_SHA",
                        
                        "TLS_RSA_WITH_NULL_SHA256",
                        "TLS_RSA_WITH_AES_128_CBC_SHA256",
                        };
        ssocket = (SSLServerSocket) res;                
            ssocket.setEnabledCipherSuites(enabledCipherSuites);
 
            ssocket.setReuseAddress(true);
            ssocket.bind(sAdress, 100);
        } catch (Throwable ex) {
            ex.printStackTrace();
        }
        return ssocket;

por cierto todo esto esta dentro de un método que construye el ServerSocket seguro por eso es que termina en return y algunas variables que ven son globales

ferdave1904 · #2 (**permalink**) 13/08/2015, 15:00

Me respondo a mi mismo. La forma para hacer que el socket seguro acepte solo TLS1.2 y ninguna versión anterior como TLS1.1, TLS1 ni SSL3 es agregando solo el Cipher requerido.

Quedaría así en mi caso:

Código Java:

Ver originalString[] enabledCipherSuites = { "TLS_DHE_DSS_WITH_AES_128_CBC_SHA256"};
ssocket = (SSLServerSocket) res;           
ssocket.setEnabledCipherSuites(enabledCipherSuites);