Как отключить SSLv3 в Tomcat?

Пожалуйста, предоставьте исправление для Как я могу исправить / обойти уязвимость SSLv3 POODLE (CVE-2014-3566)? для Tomcat.

Я попробовал следующую ссылку, но это не помогает: архивы рассылки tomcat-users

4 ответа

Добавьте приведенную ниже строку в файл server.xml

sslEnabledProtocols="TLSv1, TLSv1.1, TLSv1.2"

а затем удалить

sslProtocols="TLS"

проверить

http://poodlebleed.com/
https://www.ssllabs.com/ssltest/

С помощью

sslEnabledProtocols="TLSv1, TLSv1.1, TLSv1.2" 

не работает для нас. Мы должны были использовать

sslProtocols="TLSv1, TLSv1.1, TLSv1.2"

и оставил sslEnabledProtocols в целом.

Все более современные браузеры Note работают как минимум с TLS1. Больше нет безопасных протоколов SSL, что означает отсутствие доступа IE6 к защищенным веб-сайтам.

Проверьте ваш сервер на наличие этой уязвимости с помощью nmap за несколько секунд:

nmap --script ssl-cert,ssl-enum-ciphers -p 443 www.example.com

Если ssl-enum-ciphers перечисляет раздел "SSLv3:" или любые другие разделы SSL, ваш сервер уязвим.

Чтобы исправить эту уязвимость на веб-сервере Tomcat 7, в server.xml разъем, снять

sslProtocols="TLS"

(или же sslProtocol="SSL" или аналогичный) и замените его следующим:

sslEnabledProtocols="TLSv1, TLSv1.1, TLSv1.2"

Затем перезапустите tomcat и повторите тестирование, чтобы убедиться, что SSL больше не принимается. Спасибо Коннору Реллину за правильное sslEnabledProtocols строка.

Для Tomcat 6, в дополнение к вышесказанному, нам также пришлось сделать следующее:

В server.xml разъем, добавьте:

ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA"

Источник: https://forums.openclinica.com/discussion/15696/firefox-39-new-ssl-cipher-security-setting-error-tomcat-6-fix

Другие вопросы по тегам