Как отключить SSLv3 в Tomcat?
Пожалуйста, предоставьте исправление для Как я могу исправить / обойти уязвимость SSLv3 POODLE (CVE-2014-3566)? для Tomcat.
Я попробовал следующую ссылку, но это не помогает: архивы рассылки tomcat-users
4 ответа
Добавьте приведенную ниже строку в файл server.xml
sslEnabledProtocols="TLSv1, TLSv1.1, TLSv1.2"
а затем удалить
sslProtocols="TLS"
проверить
С помощью
sslEnabledProtocols="TLSv1, TLSv1.1, TLSv1.2"
не работает для нас. Мы должны были использовать
sslProtocols="TLSv1, TLSv1.1, TLSv1.2"
и оставил sslEnabledProtocols
в целом.
Все более современные браузеры Note работают как минимум с TLS1. Больше нет безопасных протоколов SSL, что означает отсутствие доступа IE6 к защищенным веб-сайтам.
Проверьте ваш сервер на наличие этой уязвимости с помощью nmap за несколько секунд:
nmap --script ssl-cert,ssl-enum-ciphers -p 443 www.example.com
Если ssl-enum-ciphers перечисляет раздел "SSLv3:" или любые другие разделы SSL, ваш сервер уязвим.
Чтобы исправить эту уязвимость на веб-сервере Tomcat 7, в server.xml
разъем, снять
sslProtocols="TLS"
(или же sslProtocol="SSL"
или аналогичный) и замените его следующим:
sslEnabledProtocols="TLSv1, TLSv1.1, TLSv1.2"
Затем перезапустите tomcat и повторите тестирование, чтобы убедиться, что SSL больше не принимается. Спасибо Коннору Реллину за правильное sslEnabledProtocols
строка.
Для Tomcat 6, в дополнение к вышесказанному, нам также пришлось сделать следующее:
В server.xml
разъем, добавьте:
ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA"