Netty tcnative с OpenSSL и поддерживаемыми группами (эллиптические кривые)

Netty tcnative с OpenSSL и поддерживаемыми группами (эллиптические кривые) ⇐ JAVA

Ответить

1 сообщение • Страница 1 из 1

Anonymous

Netty tcnative с OpenSSL и поддерживаемыми группами (эллиптические кривые)

Цитата

Сообщение Anonymous » 15 янв 2026, 15:03

У меня есть сервер, использующий JRE8, netty 4.1.x и netty-tcnative 2.0.36. По умолчанию настроен SslProvider.OPENSSL.

Код: Выделить всё

SslContextBuilder contextBuilder = SslContextBuilder.forServer(keyMngrFactory)
.sslProvider(SslProvider.OPENSSL)
.enableOcsp(true);

Сервер настроен с использованием наборов шифров TLS 1.2 и TLS_ECDHE_RSA*.
Мне нужно иметь возможность ограничить (белый список) эллиптические кривые (расширение support_groups), используемые для обмена эфемерными ключами ECDHE во время установления связи SSL. Однако при использовании SslProvider.OPENSSL сервер, похоже, не учитывает системное свойство -Djdk.tls.namedGroups. Вместо этого сервер всегда использует P-256 для обмена эфемерными ключами.
Если я переключусь на SslProvider.JDK, выше системное свойство (

Код: Выделить всё

-Djdk.tls.namedGroups

) отражается во время обмена эфемерными ключами ECDHE. Однако я не могу переключить свое производственное приложение на использование поставщика JDK.
Я наткнулся на https://github.com/netty/netty-tcnative/issues/567. Исходя из этого, я считаю, что нет поддержки для ограничения расширения support_groups. Но не уверен, есть ли какой-либо альтернативный подход.
Мои вопросы:

При использовании SslProvider.OPENSSL с netty-tcnative, можем ли мы ограничить использование эллиптических кривых (поддерживаемая группа/именованная группа) для обмена ключами?
Если да, то как их настроить?

Подробнее здесь: https://stackoverflow.com/questions/687 ... tic-curves

1768478581

Anonymous

У меня есть сервер, использующий JRE8, netty 4.1.x и netty-tcnative 2.0.36. По умолчанию настроен SslProvider.OPENSSL.
[code]SslContextBuilder contextBuilder = SslContextBuilder.forServer(keyMngrFactory)
.sslProvider(SslProvider.OPENSSL)
.enableOcsp(true);
[/code]
Сервер настроен с использованием наборов шифров TLS 1.2 и TLS_ECDHE_RSA*.
Мне нужно иметь возможность ограничить (белый список) эллиптические кривые (расширение support_groups), используемые для обмена эфемерными ключами ECDHE во время установления связи SSL. Однако при использовании SslProvider.OPENSSL сервер, похоже, не учитывает системное свойство -Djdk.tls.namedGroups. Вместо этого сервер всегда использует P-256 для обмена эфемерными ключами.
Если я переключусь на SslProvider.JDK, выше системное свойство ([code]-Djdk.tls.namedGroups[/code]) отражается во время обмена эфемерными ключами ECDHE. Однако я не могу переключить свое производственное приложение на использование поставщика JDK.
Я наткнулся на https://github.com/netty/netty-tcnative/issues/567. Исходя из этого, я считаю, что нет поддержки для ограничения расширения support_groups. Но не уверен, есть ли какой-либо альтернативный подход.
Мои вопросы:
[list]
[*]При использовании SslProvider.OPENSSL с netty-tcnative, можем ли мы ограничить использование эллиптических кривых (поддерживаемая группа/именованная группа) для обмена ключами?
[*]Если да, то как их настроить?
[/list] 

Подробнее здесь: [url]https://stackoverflow.com/questions/68779649/netty-tcnative-with-openssl-and-supported-groups-elliptic-curves[/url]