BC-Java项目中TLS签名算法扩展的配置增强

在TLS协议中，签名算法扩展(signature_algorithms和signature_algorithms_cert)对于建立安全连接至关重要。BC-Java项目作为Java安全领域的重要开源实现，近期在其JSSE提供程序中增强了对这两个扩展的独立配置能力。

背景与需求

在TLS握手过程中，客户端和服务器需要协商使用的签名算法。传统上，BC-Java的JSSE提供程序将signature_algorithms_cert扩展设置为与signature_algorithms相同的算法列表。然而，实际应用场景中，证书签名算法和TLS记录层签名算法的需求可能不同，特别是在mTLS（双向TLS认证）场景下。

技术实现

BC-Java 1.79版本引入了以下重要改进：

1. 新增了两个系统属性配置项：

   • org.bouncycastle.jsse.client.SignatureSchemesCert
   • org.bouncycastle.jsse.server.SignatureSchemesCert

2. 在BCSSLParameters类中增加了对应的get/set方法：

   • getSignatureSchemesCert()
   • setSignatureSchemesCert()

实际意义

这项改进使得开发者能够：

• 为证书签名算法和TLS记录层签名算法分别指定不同的算法集合
• 更灵活地满足各种安全合规要求
• 在mTLS等复杂场景下实现更精细的安全控制

使用建议

对于需要独立配置证书签名算法的场景，开发者可以通过以下方式使用这一特性：

1. 通过系统属性全局配置
2. 通过BCSSLParameters API在代码中动态配置
3. 结合现有的签名算法配置，构建更灵活的安全策略

这项增强体现了BC-Java项目对实际安全需求的快速响应能力，为Java生态中的TLS实现提供了更强大的配置灵活性。对于需要高级TLS配置的开发者来说，1.79版本的这个改进值得特别关注。