如何在 tomcat 中禁用 SSLv3?

如何在 tomcat 中禁用 SSLv3?

请提供修复如何修补/解决 SSLv3 POODLE 漏洞 (CVE-2014-3566)?对于 Tomcat。

我尝试过以下链接,但没有帮助:tomcat 用户邮件列表档案

答案1

将以下字符串添加到 server.xml 连接器

sslEnabledProtocols="TLSv1, TLSv1.1, TLSv1.2"

然后删除

sslProtocols="TLS"

检查

http://poodlebleed.com/
https://www.ssllabs.com/ssltest/

答案2

使用

sslEnabledProtocols="TLSv1, TLSv1.1, TLSv1.2" 

对我们来说不起作用。我们不得不使用

sslProtocols="TLSv1, TLSv1.1, TLSv1.2"

并完全忽略了sslEnabledProtocols

答案3

所有较新的浏览器至少都支持 TLS1. 不再有安全的 SSL 协议,这意味着 IE6 无法再访问安全的网站。

使用 nmap 测试你的服务器是否存在此漏洞几秒钟后:

nmap --script ssl-cert,ssl-enum-ciphers -p 443 www.example.com

如果 ssl-enum-ciphers 列出了“SSLv3:”部分或任何其他 SSL 部分,则您的服务器存在漏洞。

要在 Tomcat 7 Web 服务器上修补此漏洞,请在server.xml连接器中删除

sslProtocols="TLS"

(或sslProtocol="SSL"或类似)并将其替换为:

sslEnabledProtocols="TLSv1, TLSv1.1, TLSv1.2"

然后重新启动 tomcat 并再次测试以验证 SSL 不再被接受。感谢 Connor Relleen 提供正确的sslEnabledProtocols字符串。

答案4

对于 Tomcat 6,除了上述操作之外,我们还必须执行以下操作:

server.xml连接器中,添加:

ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA"

来源:https://forums.openclinica.com/discussion/15696/firefox-39-new-ssl-cipher-security-setting-error-tomcat-6-fix

相关内容