
<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">


<head>


<meta http-equiv="Content-Type" content="text/html; charset=utf-8">


<meta name="Generator" content="Microsoft Word 15 (filtered medium)">


<style><!--


/* Font Definitions */


@font-face


        {font-family:"Cambria Math";


        panose-1:2 4 5 3 5 4 6 3 2 4;}


@font-face


        {font-family:Calibri;


        panose-1:2 15 5 2 2 2 4 3 2 4;}


/* Style Definitions */


p.MsoNormal, li.MsoNormal, div.MsoNormal


        {margin:0in;


        margin-bottom:.0001pt;


        font-size:12.0pt;


        font-family:"Times New Roman",serif;}


a:link, span.MsoHyperlink


        {mso-style-priority:99;


        color:#0563C1;


        text-decoration:underline;}


a:visited, span.MsoHyperlinkFollowed


        {mso-style-priority:99;


        color:#954F72;


        text-decoration:underline;}


p.msonormal0, li.msonormal0, div.msonormal0


        {mso-style-name:msonormal;


        mso-margin-top-alt:auto;


        margin-right:0in;


        mso-margin-bottom-alt:auto;


        margin-left:0in;


        font-size:12.0pt;


        font-family:"Times New Roman",serif;}


span.EmailStyle18


        {mso-style-type:personal;


        font-family:"Calibri",sans-serif;


        color:windowtext;}


span.EmailStyle19


        {mso-style-type:personal-compose;


        font-family:"Calibri",sans-serif;


        color:windowtext;}


.MsoChpDefault


        {mso-style-type:export-only;


        font-size:10.0pt;


        font-family:"Calibri",sans-serif;}


@page WordSection1


        {size:8.5in 11.0in;


        margin:1.0in 1.0in 1.0in 1.0in;}


div.WordSection1


        {page:WordSection1;}


--></style><!--[if gte mso 9]><xml>


<o:shapedefaults v:ext="edit" spidmax="1026" />


</xml><![endif]--><!--[if gte mso 9]><xml>


<o:shapelayout v:ext="edit">


<o:idmap v:ext="edit" data="1" />


</o:shapelayout></xml><![endif]-->


</head>


<body lang="EN-US" link="#0563C1" vlink="#954F72">


<div class="WordSection1">


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">Running sslscan against Tomcat 8.0.43 / Oracle Java 8u121 and a Tomcat server.xml containing<o:p></o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"><o:p> </o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">ciphers="HIGH:!aNULL:!RC4:!MD5:@STRENGTH"<o:p></o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"><o:p> </o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">shows the strongest cipher is<o:p></o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"><o:p> </o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">ECDHE-RSA-AES128-GCM-SHA256<o:p></o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"><o:p> </o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">Installing the Java unlimited strength policy files increases this to<o:p></o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"><o:p> </o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">ECDHE-RSA-AES256-GCM-SHA384<o:p></o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"><o:p> </o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">sslscan did not report any ECDSA ciphers from tomcat even when I changed the ciphers in server.xml to include them, even though a test Java program that enumerates supported


 ciphers did list (unlimited strength policy files)<o:p></o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"><o:p> </o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384<o:p></o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"><o:p> </o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">So your openssl connect line below always failed for me.<o:p></o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"><o:p> </o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">Andrew<o:p></o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"><o:p> </o:p></span></p>


<p class="MsoNormal"><b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">From:</span></b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"> openssl-users [mailto:openssl-users-bounces@openssl.org]


<b>On Behalf Of </b>Pravesh Rai<br>


<b>Sent:</b> Saturday, June 03, 2017 22:02<br>


<b>To:</b> openssl-dev@openssl.org<br>


<b>Cc:</b> openssl-users@openssl.org<br>


<b>Subject:</b> [openssl-users] Problem in connecting to Java (Tomcat) server with ECDHE ciphers<o:p></o:p></span></p>


<p class="MsoNormal"><o:p> </o:p></p>


<div>


<p class="MsoNormal">Hi,<o:p></o:p></p>


<div>


<p class="MsoNormal"><o:p> </o:p></p>


</div>


<div>


<p class="MsoNormal">Even though I've disabled SSLvX protocols on both - client (openssl-1.0.2k) & server (Java 1.8 with Tomcat), still getting following handshake error, while executing:<o:p></o:p></p>


</div>


<div>


<p class="MsoNormal"><o:p> </o:p></p>


</div>


<div>


<p class="MsoNormal">"openssl s_client -connect a.b.c.d:<port> -msg -debug -cipher ECDHE-ECDSA-AES256-GCM-SHA384"<o:p></o:p></p>


</div>


<div>


<p class="MsoNormal"><o:p> </o:p></p>


</div>


<div>


<p class="MsoNormal"><o:p> </o:p></p>


</div>


<div>


<p class="MsoNormal">...<o:p></o:p></p>


</div>


<div>


<div>


<p class="MsoNormal">read from 0x213f50 [0x21c410] (7 bytes => 7 (0x7))<o:p></o:p></p>


</div>


<div>


<p class="MsoNormal">0000 - 15 03 03 00 02 02 28                              ......(<o:p></o:p></p>


</div>


<div>


<p class="MsoNormal"><<< TLS 1.2  [length 0005]<o:p></o:p></p>


</div>


<div>


<p class="MsoNormal">    15 03 03 00 02<o:p></o:p></p>


</div>


<div>


<p class="MsoNormal"><<< TLS 1.2 Alert [length 0002], fatal handshake_failure<o:p></o:p></p>


</div>


<div>


<p class="MsoNormal">    02 28<o:p></o:p></p>


</div>


<div>


<p class="MsoNormal">14756:error:14077410:SSL routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake failure:.\ssl\s23_clnt.c:769:<o:p></o:p></p>


</div>


</div>


<div>


<p class="MsoNormal">...<o:p></o:p></p>


</div>


<div>


<p class="MsoNormal"><o:p> </o:p></p>


</div>


<div>


<p class="MsoNormal">And, such error happens, only when ECDHE ciphers are selected during the connection.<o:p></o:p></p>


</div>


<div>


<p class="MsoNormal"><o:p> </o:p></p>


</div>


<div>


<p class="MsoNormal">Any clue on this?<o:p></o:p></p>


</div>


<div>


<p class="MsoNormal"><o:p> </o:p></p>


</div>


<div>


<p class="MsoNormal">Thanks,<o:p></o:p></p>


</div>


<div>


<p class="MsoNormal">PR<o:p></o:p></p>


</div>


</div>


</div>


</body>


</html>